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Abstract of EP1 239354 

The apparatus (38) is connected to sensors 
(20,22) and/or actuators (24-30) and analyses, 
processes and controls their states. The 
apparatus is connected to the control (36) and 
transmits to it, in dependence on the state of the 
sensors and/or actuators, at least one release 
signal to enable at least one action in the 
manipulator (10). The execution of this action is 
monitored by the monitoring and control 
apparatus (38). In the case of a fault, at least one 
further signal is generated to bring the system 
into a safe state. Independent claims also cover a 
method of monitoring the system. 
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Beschreibung 

[0001] Die Erfindung bezieht sich auf ein Verfahren zur Steuerung und Uberwachung einer Bremseinrichtung mit 
einem Nennmoment (M NENN ), die einer Antriebseinheit einer technischen Anlage wie Handhabungsgerat zugeordnet 
5 ist. 

[0002] Auch nimmt die Erfindung Bezug auf ein Uberwachungs- und Steuergerat zur Durchfuhrung des Verfahrens. 
[0003] Urn ein Handhabungsgerat derart auszubilden, dass es auch in der Nahe von Personen betrieben werden 
kann, wird in der DE 39 02 247 A 1 vorgeschlagen, Istwertgeberfur Lage-Ruckmeldungen und Regelkreise redundant 
auszubilden und zusatzlich eine Uberwachungs- und Sicherheitsschaltung vorzusehen, die bei Signalabweichungen 

10 zwischen den redundanten Abgriffen anspricht. 

[0004] Die Oberwachungs- und Sicherheitsschaltung spricht auf Signalabweichungen zwischen den redundanten 
Istwertgebern an, wobei jedoch externe Sicherheitsvorkehrungen in die Prufuhg nicht einbezogen werden. Auch ist 
bei der bekannten Uberwachungs- und Sicherheitsschaltung nicht vorgesehen, dass diese aktiv in den Bewegungs- 
ablauf der Handhabungsmaschine eingreifen kann. 

15 [0005] Aus der DE 296 20 592 U1 ist eine Einrichtung zum sicherheitsgerichteten Uberwachen einer Maschinen- 
achse bekannt, die ein getrenntes Prozessor- und Istwert-Erfassungssystem sowie eine Fehleraufdeckung durch Si- 
gnalvergleichstest und Zwangsdynamisierung aufweist. Die Vorrichtung weist zwei separate Istwert-Erfassungssyste- 
me auf, die ihre Istwerte jeweils getrennten Prozessoren zuleiten. In den Prozessoren werden die Istwerte mit Ober- 
und Untergrenzwerten verglichen. 

20 [0006] Zur Steuerung und Uberwachung einer Bremseinrichtung fur Antriebe eines Handhabungsgerates ist aus 
dem Stand der Technik bekannt, dass eine Bedienperson bei geschlossener Bremseinrichtung einen Antrieb zur Er- 
zeugung eines Drehmomentes mit einem Strom beaufschlagt und uber Sichtkontakt pruft, ob sich der Antrieb bei 
geschlossener Bremseinrichtung bewegt. Diese Vorgehensweise ist unprazise und muss fur jede Achse separat durch- 
gefuhrt werden. 

25 [0007] Auch ist aus dem Stand der Technik bisher nicht bekannt, einen Bewegungsablauf eines def inierten Punktes 
im kartesischen Raum bezuglich Lage und Geschwindigkeit zu uberwachen. 

[0008] Der Erfindung liegt das Problem zu Grunde, ein Verfahren zur Steuerung und Uberwachung einer Bremsein- 
richtung derart weiterzuentwickeln, dass auf einfache Weise eine automatische Oberwachung bzw. Uberprufung er- 
moglicht wird. 

30 [0009] Auch liegt der Erfindung das Problem zu Grunde, eine Sicherheitsschaltung zur Oberwachung von Bewe- 
gungsablaufen einer technischen Anlage zur Verfugung zu stellen, die flexibel einsetzbar ist und die Sicherheit der 
technischen Anlage erhoht. 

[001 0] Ferner soli ein Bewegungsablauf eines def inierten Punktes einer Einrichtung der technischen Anlage im kar- 
tesischen Raum auf sichere Werte uberwacht werden konnen. 

35 [001 1 ] Das Verfahren zur Steuerung und Uberwachung einer Bremseinrichtung der eingangs genannten Art zeichnet 
sich dadurch aus, dass ein einem Haltemoment entsprechender Haltestrom (l H ) der Antriebseinheit bei geoffneter 
Bremseinrichtung gemessen und gespeichert wird, dass die Antriebseinheit bei geschlossener Bremseinrichtung mit 
einem achsspezifischen Stromwert (I T est) beaufschlagt wird, der die Bremseinrichtung mit einem Moment belastet, 
das gleich oder kleiner als das Nennmoment (M NENN ) der Bremseinrichtung ist und dass der Antrieb gleichzeitig auf 

40 Stillstand uberwacht wird. 

[0012] Durch das erfindungsgemaGe Verfahren erfolgt eine automatische Uberwachung/Uberprufung der Bremsein- 
richtungen. Bei geschlossenen Bremseinrichtungen und Bestromung wird der Antrieb auf Stillstand uberwacht. Sobald 
sich eine Achse bzw. ein Antrieb bewegt, wird uber die Stillstandsuberwachung ein Fehlersignal erzeugt, das auf den 
Defekt einer Bremseinrichtung hinweist. Insbesondere besteht die Moglichkeit, samtliche Bremseinrichtungen eines 

45 Handhabungsgerates gleichzeitig zu uberwachen, indem alle Antriebe bei geschlossener Bremseinrichtung mit einem 
Stromwert beaufschlagt werden. 

[001 3] Vorzugsweise ergibt sich der Stromwert (I TES t) aus dem gemessenen Haltestrom (l H ) und einem Offset-Strom 
('offset) nach der Beziehung 

50 

'test = 'h ± 'offset 

mit 'offset = x • 'n 

mit 0,6 < x < 1 ,0, vorzugsweise x = 0,8 
55 mit l N einem Strom, der ein Nennmoment erzeugt, das dem maximalen Nennmoment der Bremseinrichtung ent- 

spricht. 

[0014] Handelt es sich bei der zu uberprufenden Achse bzw. dem zu uberprufenden Antrieb urn eine schwerkraft- 
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belastete Achse, so wird die Bremseinrichtung aufgrund der Schwerkraft z. B. des Roboterarms mit einem bestimmten 
Moment belastet, das dem Haltemoment entspricht. Zum Testen der Trenneinrichtung wird der Antrieb mit einem Strom- 
wert beaufschlagt, der ein Moment erzeugt, das zusatzlich zu dem von der Schwerkraft erzeugten Moment in dessen 
Richtung wirkt. 

5 [0015] GemaB einer Weiterbildung ist vorgesehen, dass der Stromwert l TEST in dem Antrieb ein Moment erzeugt, 
das 60 bis 90 % des Nennmomentes, vorzugsweise 80 % des Nennmomentes betragt. 

[0016] Ferner ist bei nicht-schwerkraftbelasteten Achsen vorgesehen, dass die Bremseinrichtung uber einen exter- 
nen Schaltkontakt losbar ist und uber eine externe Hilfsenergie angesteuert wird. Diese Betriebsart wird nur in Notfallen 
angewendet. Dabei kann die ubergeordnete Robotersteuerung und/oder das Uberwachungsgerat ausgeschaltet sein. 
10 In diesem Zustand kann die Robotermechanik manuell bewegt werden, zum Beispiel zum Befreien einer eingeklemm- 
ten Person. 

[0017] Zur Behebung von Produktionsstorungen ist vorgesehen, dass bei einer individuellen Losung der Bremsein- 
richtungen einer Gruppe von nicht Oder im wesentlichen nicht durch Schwerkraft belasteten Achsen wie Kopfachsen, 
verbleibende durch Schwerkraft belastete Achsen auf Stillstand uberwacht werden. Diese Betriebsart ist dann von 
15 Vorteil, wenn ein SchweiBroboter zum Beispiel nach einer Stromquellenstorung mit festgebranntem SchweiBdraht an 
einer schwer zuganglichen Stelle des Werkstucks festklemmt. Fur diesen Fall kann an einer Gruppe von Achsen ohne 
Schwerkraftbelastung die Bremseinrichtung geliiftet werden, urn die Achsen sodann manuell in eine ubersichtliche 
Position zu bewegeh. 

[001 8] Bei einer bevorzugten Verfahrensweise wird eine Spannungsversorgung fur die Bremseinrichtungen uber ein 
20 externes Steuer- und Uberwachungsgerat zugeschaltet, wobei eine mit der Bremseinrichtung verbundene Antriebs- 
steuerung ein Signal erzeugt, mit dem die Bremseinrichtung einer Achse geoffnet bzw. geliiftet wird. Neben einer 
erhohten Sicherheit wird dadurch auch die Flexibility bei einer Vielzahl von angeschlossenen Motoren bzw. Bremsen 
erhoht. 

[0019] Urn einen Bewegungsablauf des definierten Punktes im kartesischen Raum uberwachen zu konnen ist vor- 
25 gesehen, dass Lage-lstwert-Signale von Antriebseinheiten erfasst werden, dass aus den Lage-lstwert-Signalen durch 
eine Transformationsoperation kartesische Koordinateh des Punktes berechnet werden, und dass die berechneten 
kartesischen Koordinaten mit abgespeicherten Werten und/oder Wertebereichen verglichen werden, urn ein Signal 
zum Stillsetzen der Einrichtung zu erzeugen, wenn die transformierten kartesischen Koordinaten den Wert und/oder 
Wertebereich uberschreiten. 

30 [0020] Bei einer bevorzugten Verfahrensweise erfolgt eine Uberprufung auf sicher reduzierte Geschwindigkeit be- 
zogen auf den handhabungsgeratespezifischen Punkt, wobei ein Differenzvektor durch Subtraktion eines ersten kar- 
tesischen Koordinatensatzes in einem ersten Abtastzeitpunkt von einem zweiten kartesischen Koordinatensatz in ei- 
nem zweiten Abtastzeitpunkt errechnet wird, wobei eine kartesische Geschwindigkeit des Punktes uber eine ZeitdiN 
ferenz zwischen dem ersten und zweiten Abtastzeitpunkt ermittelt wird und wobei ein Signal zum Stillsetzen der An- 

35 triebseinheiten dann erzeugt wird, wenn die errechnete Geschwindigkeit eine vorgegebene maximale Geschwindigkeit 
ubersteigt. 

[0021 ] Bei einer weiteren bevorzugten Verfahrensweise erfolgt eine sogen. Bremsrampenuberwachung, wobei nach 
Auslosung eines Signals zum Stillsetzen der Einrichtung eine Anfangsgeschwindigkeit des Punktes ermittelt und ge- 
speichert wird, wobei nach einer Zeitspanne die aktuelle Geschwindigkeit ermittelt und mit der Anfangsgeschwindigkeit 
40 verglichen wird und wobei dann, wenn die aktuelle Geschwindigkeit nach der Zeitspanne gleich Oder groBer der An- 
fangsgeschwindigkeit ist, ein Signal zum sofortigen Stillsetzen der Einrichtung erzeugt wird. 

[0022] Ein Uberwachungs- und Steuergerat zur Oberwachung einer zumindest eine portable und/oder mobile und/ 
oder immobile Einrichtung umfassenden technischen Anlage mit erhohten Sicherheitsanforderungen, insbesondere 
eines in einer Schutzeinrichtung angeordneten Handhabungsgerates, mit zumindest einer vorzugsweise zentralen 

45 urid/oder dezeritralen Steuereinheit sowie mit dieser verbundenen Aktoren zur Ausfuhrung von gefahrbringenden Ak- 
tionen, wobei das Oberwachungs- und Steuergerat mit Sensoren und/oder Aktoren verbunden ist und deren Zustande 
auswertet, verarbeitet und steuert, zeichnet sich dadurch aus, dass die Steuereinheit uber zumindest eine Datenver- 
bindung mit dem zumindest einen Aktor und/oder Sensor und dem Uberwachungs- und Steuergerat verbunden ist, 
dass das Uberwachungs- und Steuergerat in Abhangigkeit der Zustande der Sensoren und/oder Aktoren zumindest 

so ein Freigabesignal an die Steuereinheit zur Ermoglichung zumindest einer Aktion in der technischen Anlage ubertragt, 
dass das Freigabesignal eine Aktion auslost, die durch das Steuer- und Uberwachungsgerat durch Vergleich mit ge- 
speicherten und/oder vorgegebenen Ausfuhrungs- und/oder Funktions- und/oder Plausibilitatsvorgaben bzw. Bewe- 
gungsablaufen uberwacht wird, und dass im Fehlerfall zumindest ein weiteres Signal erzeugt wird, durch das die Anlage 
in einen sicheren Zustand uberfuhrt wird. 

55 [0023] Das Uberwachungs- und Steuergerat ist derart ausgebildet, dass es zusatzlich in handelsubliche zentrale 
und/oder dezentrale numerische Steuerungen integriert werden kann, urn gef ahrbringende Aktionen einer technischen 
Anlage, insbesondere dreidimensionale gefahrbringende Bewegungen sicherheits- bzw. personenschutzgerichtet zu 
uberwachen. Bei fehlerhafter Ausfuhrung der Aktionen wird ein Signal zum UberfOhren der Anlage in den sicheren 
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Zustand erzeugt. 

[0024] Das Uberwachungs- und Steuergerat weist Eingangs- und Ausgangsebenen auf, an denen die Sensoren 
und/oder Aktoren angeschlossen sind. Zusatzlich sind Schnittstellen vorgesehen, urn das Oberwachungs- und Steu- 
ergerat mit der vorhandenen zentralen Steuereinheit gegebenenfalls uber einen Bus zu verbinden. 
[0025] In einer bevorzugten Ausfuhrungsform ist das Uberwachungs- und Steuerungsgerat mit einer Robotersteue- 
rung verbunden. Dabei ist vorgesehen, dass der zumindest eine Aktor und/oder der zumindest eine Sensor als eine 
die technische Anlage in den sicheren Zustand uberfuhrende Sicherheitseinrichtung ausgebildet ist. Insbesondere ist 
der Aktor als Antriebseinheit mit zugehoriger Antriebssteuerung oder als ein die technische Anlage bzw. die Antriebs- 
steuerung mit Energie verbindendes Leistungsschutz ausgebildet. 

[0026] .Wenn sich samtliche Aktoren und/oder Sensoren in einem den sicherheitstechnischen Anforderungen ent- 
sprechenden Zustand befinden, wird durch das Freigabesignal des Uberwachungs- und Steuergerates eine Aktion 
wie z. B. ein Bewegungsablauf ausgelost, der durch das Steuer- und Uberwachungsgerat bevorzugt durch Vergleich 
mit gespeicherten und/oder vorgegebenen Werten wie Ausfuhrungs- und/oder Funktions- und/oder Plausibilitatsvor- 
gaben bzw. Bewegungsablaufen uberwacht wird. 

[0027] Ferner sind insbesondere die Steuereinheit und das Uberwachungs- und Steuergerat physisch als separate 
Einrichtungen ausgebildet. 

[0028] Zur sicheren Uberwachung der Bewegungsablaufe ist erfindungsgemafB vorgesehen, dass von der Steuer- 
einheit fortlaufend oder einmalig ein Lage-Sollwert-Signal an die zumindest eine angeschlossene Antriebssteuerung 
und/oder an das Uberwachungs- und Steuergerat und von der zumindest einen Antriebssteuerung Lage-lstwert-Si- 
gnale zumindest an die Steuereinheit, vorzugsweise sowohl an die Steuereinheit als auch an das Uberwachungs- und 
Steuergerat ubertragen werden, dass die Lage-lstwert-Signale jeder Antriebssteuerung mit in dem Uberwachungs- 
und Steuergerat abgespeicherten und von der Steuereinheit ubertragenen antriebsspezifischen Werten und/oder Wer- 
tebereichen verglichen werden und dass bei Verlassen des jeweiligen Wertes und/oder Wertebereiches das weitere 
Signal erzeugt wird. 

[0029] Urn eine moglichst hohe Fehlersicherheit zu erreichen, weisen die Antriebssteuerungen und das Uberwa- 
chungs- und Steuergerat jeweils zumindest zwei Kanale auf, wobei die Kanale uber die Busleitung CAN_A und eine 
weitere Busleitung CAN_B miteinander verbunden sind, wobei uber die Busleitung CAN_A Steuersignale und/oder 
Istwert-lnformationen und uber die Busleitung CAN_B Istwert-lnformationen ubertragen werden, die redundant anlie- 
gen. Zur Auswertung elektromechanischer Sicherheitsschalter oder ahnlicher Sensoren und zur Ansteuerung externer 
Schaltgerate oder Aktoren weist das Uberwachungs- und Steuergerat eine zweikanalige Ausgangs- und Eingangs- 
ebene auf, wobei zumindest zwei weitere Busanschlusse vorgesehen sind, urn das Uberwachungs- und Steuergerat 
mit einem ubergeordneten Sicherheitsbus verbinden zu konnen. 

[0030] Bei einer bevorzugten Ausfuhrungsform sind die von den Antriebssteuerungen ubertragenen Lage-jstwerte 
mit einem Identifier deklariert, wobei beim Empfang dieser Identifier in jedem Mikrocontroller des Uberwachungs- und 
Steuergerates ein Interrupt ausgelost wird und die Lage-lstwerte innerhalb eines Zeitintervalls gelesen werden. Auch 
ist jedem Wert und/oder Wertebereich zumindest ein sicherheitsgerichteter Ausgang und/oder Eingang des Uberwa- 
chungs- und Steuergerates zugeordnet, wobei die Ausgange und/oder Eingange mit passiven und/oder aktiven Schal- 
telementen wie elektromechanischen Sicherheitsschaltern und/oder Leistungsschutzen und Relais verknupft sind. 
[0031] Zur Ausfuhrung von Service-Arbeiten und zur Initialisierung der technischen Anlage ist vorgesehen, dass die 
zentrale Steuereinheit Lage-Sollwert-lnformationen zum Anfahren definierter Positionen wie SAFE-Position, SYNC-Po- 
sition an die Antriebseinheiten und das Uberwachungs- und Steuergerat ubertragt, wobei den definierten Positionen 
antriebsspezifische Werte zugeordnet sind, die zu dem Ubertragungs- und Steuergerat ubertragen und mit den ermit- 
telten Lage-lstwerten der Antriebseinheiten verglichen werden. 

[0032] Erf indungsgemaG weist die technische Anlage keine Hardware- Endschalter wie Nocken auf, sondern es sind 
achsspezifische "elektronische Nocken" definiert. Insbesondere sind bezuglich einer Antriebseinheit bzw. einer An- 
triebsachse eine Vielzahl von Wertebereichen definiert, wobei diese antriebsspezifisch von dem Uberwachungs- und 
Steuergerat uberwacht werden, wobei jedem Wert und/oder Wertebereich ein oder mehrere Ausgange des Uberwa- 
chungs- und Steuergerates zugeordnet sind. Die Werte und/oder Wertebereiche konnen achsspezifisch programmiert 
werden. Beim Oberschreiten eines Lage-Wertebereiches werden ein oder mehrere Ausgange des Oberwachungs- 
und Steuergerates gesetzt, so dass die technische Anlage abgeschaltet werden kann. 

[0033] Bei einem Verfahren zum sicherheitsgerichteten Uberwachen zumindest einer Achse einer Antriebseinheit 
wird das Problem verfahrensmaBig dadurch gelost, dass ein Lage-lstwertsignal der zumindest einen Achse erfasst 
und ausgewertet wird, wobei das Lage-lstwerisignal aus zwei zueinander phasenverschobenen periodischen Signalen 
gebildet wird, wobei die Summe der Potenzen der jeweiligen Amplitude der Signale gebildet und mit einem in einem 
Wertebereich liegenden Wert verglichen wird und wobei ein Fehlersignal erzeugt wird, wenn die Summe* nicht innerhalb 
des vorgegebenen Wertebereichs liegt 

[0034] Bei einem Verfahren mit erhohter Sicherheit ist vorgesehen, dass das Lage-lstwertsignal der zumindest einen 
Achse einkanalig erfasst und zweikanalig ausgewertet wird, wobei das Lage-lstwertsignal aus den zwei zueinander 
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phasenverschobenen periodischen Signalen gebildet wird, dass in jedem Kanal die Summe der Amplitudenquadrate 
gebildet und mit einem konstanten Wert Oder einem in dem Wertebereich liegenden Wert verglichen wird, dass ein 
Fehlersignal erzeugt wird, wenn die Summe nicht dem vorgegebenen Wert entspricht bzw. nicht innerhalb des Wer- 
tebereichs ist und dass das Lage-lstwertsignal dem weiteren zweikanaligen Uberwachungs- und Steuergerat zugefuhrt 
5 wird, das die in jedem Kanal der Antriebssteuerung gebildeten Summen der Amplitudenquadrate miteinander und 
/oder mit dem konstanten Wert bzw. in dem Wertebereich liegenden Wert vergleicht. 

[0035] Vorzugsweise setzt sich das Lage-lstwertsignal aus einem sin- und einem cos-Signal zusammen, wobei in 
jedem Kanal eine Plausibilitatsprufung der .Istwert-Signale durchgefuhrt wird, wobei gepruft wird, ob die Summe der 
Quadrate der Ausgangsamplituden in jedem Abtastzeitpunkt einem vorgegebenen Wert x entspricht mit x im Bereich 

10 0,9 < x < 1 ,1 , vorzugsweise x = I = (sin (p) 2 + (cos (p) 2 . 

[0036] Als fehlervermeidende und/oder fehlerbeherrschende MaBnahme ist vorgesehen, dass ein richtungsabhan- 
giges Signal eines Drehzahl- bzw. Lage-Sollwertes erzeugt und mit einem richtungsabhangigen Signal des Drehzahl- 
bzw. Lage-lstwertes ein- oder zweikanalig verglichen wird und dass die ein- oder zweikanalig erzeugten Werte dem 
Uberwachungs- und Steuergerat zugefuhrt und dort miteinander verglichen werden. 

15 [0037] Des Weiteren ist vorgesehen, dass zwischen den Kanalen, vorzugsweise zwischen den Mikrpcomputern ein 
interner Kreuzvergleich der erfassten Istwerte durchgefuhrt wird und dass im Fehlerfall eine Impulssperre erzeugt wird. 
[0038] Bei fehlender ublicher Energieversorgung fur die Antriebseinheiten (Power-Down-Modus) wird eine Still- 
standsuberwachung durchgefuhrt, wobei in jedem Kanal die Istwerte uberwacht werden und bei Veranderung der 
Istwerte uber eine eingestellte Toleranzgrenze hinaus ein "Marker" gesetzt wird, der nach dem Wiedereinschalten der 

20 ublichen Energieversorgung in das Uberwachungs- und Steuergerat ubertragen und mit abgespeicherten Sollwerten 
verglichen wird. 

[0039] Bei einer Anordnung zum sicherheitsgerichten Oberwachen einer von einer Antriebseinheit angetriebenen 
Achse einer technischen Anlage, umfassend einen mit der Achse gekoppelten Lage-lstwertgeber, der mit einer zwei- 
kanaligen Antriebssteuerung zur Auswertung verbunden ist, wird das Problem dadurch gelost, dass der Lage-lstwert- 

25 geber einkanalig ausgefuhrt ist und zumindest zwei Ausgange aufweist, an denen bei Drehung der Achse zwei zuein- 
ander phasenverschobene periodische Signale abgreifbar sind, dass die Ausgange mit jeweils einem Kanal der An- 
triebssteuerung verbunden sind und dass die einzelnen Kanale der Antriebssteuerung einerseits mit einer ubergeord- 
neten zentralen oder dezentralen Steuereinheit und andererseits mit einem zweikanaligen Uberwachungs- und Steu- 
ergerat zum Vergleich der empfangenen Istwert-Signale verbunden sind. 

30 [0040] ' Wenn die Antriebseinheit eines Antriebs eine Zeitwerterfassung nicht zulasst, ist vorgesehen, dass die mit 
dem Lage-lstwertgeber verbundene zweikanalige Antriebssteuerung als integraler Bestandteil des Uberwachungs- 
und Steuergerates oder als eigenstandige Einheit unabhangig von der Antriebseinheit diesem vorgelagert ist. In diesem 
Fall kann.auch das Uberwachungs- und Steuergerat die Antriebssteuerung zur Istwerterfassung aufweisen. Selbst- 
verstandlich kann die Einrichtung zur Istwerterfassung auch als separate Einheit dem Uberwachungs- und Steuergerat 

35 vorgelagert sein. 

[0041] Vorteilhaft ist der Istwert-Geber als Resolver mit zwei analogen Ausgangen fur die Istwertsignale und einem 
Eingang fur ein Referenzsignal ausgebildet, wobei die Ausgange jeweils uber einen A/D-Wandler mit einem Kanal der 
Antriebssteuerung verbunden sind und wobei der Eingang fiir das Referenzsignal mit einem Referenzgenerator ver- 
bunden ist, der seinerseits uber eine Kontrolleinheit mit der Steuereinheit eines Kanals verbunden ist. 

40 [0042] Zur Steuerung der Istwert-Erfassung ist der A/D-Wandler des zweiten Kanals uber einen ersten Anschluss 
mit einem Interrupt-Eingang des Signalprozessors verbunden, und der A/D-Wandler des ersten Kanals ist uber einen 
zweiten Anschluss mit einem Eingang eines Treiberbausteins verbunden, dessen Ausgang mit einer Interrupt-Steu- 
ereinheit des Mikrocontrollers verbunden ist. Dabei wird die Zeit zwischen zwei empfangenen Interrupt-Signalen (EOC) 
gemessen und dann ein Stop-Signal ausgelost, wenn innerhalb einer Zeitspanne kein Interrupt-Signal (EOC) detektiert 

45 wird. Auch wird bei Abweichung der Referenzfrequenz von einem Frequenznormal eine Impulssperre erzeugt. 

[0043] Urn den Fehler einer mechanischen Trennung bei einkanaliger Antriebs- und Geberwelle des Resolvers zu 
beherrschen ist vorgesehen, dass die Antriebseinheit als Zwischenkreis gespeistes elektrisches Antriebssystem, vor- 
zugsweise als AC-Servo-Motor realisiert ist. 

[0044] Weiterbildungen ergeben sich aus den Unteranspruchen, denen zumindest zum Teil eigenerfinderische Aus- 
50 gestaltungen der Erfindungen zu entnehmen sind. 

[0045] Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nur aus den Anspruchen, den 
diesen zu entnehmenden Merkmalen - fur sich und/oder in Kombination -, sondern auch aus der nachfolgenden Be- 
schreibung von den Figuren zu entnehmenden Ausfuhrungsbeispielen. 
[0046] Es zeigen: 

55 

Fig. 1 eine schematische Darstellung einer technischen Anlage, umfassend ein in einem Schutzraum angeord- 
netes Handhabungsgerat, 
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Fig. 2 



ein Blockschaltbild eines Steuerungsystemszur Steuerung und/oder Regelung des Handhabungsgerates, 



Fig. 3 



ein Blockschaltbild eines Uberwachungs- und Steuergerates, 



Fig. 4 



ein Blockschaltbild zur Ansteuerung einer Leistungsebene, 



Fig. 5 



ein Blockschaltbild einer Antriebssteuerung, 



Fig. 6 - 9 prinzipielle Schaltungsaufbauten der in einem Programmierhandgerat implizierten Sicherheitsschaltele- 
mente. 

Fig. 10 ein Ablaufdiagramm der Funktion "SAFE POSITION", 

Fig. 11 ein Ablaufdiagramm der Funktion "SYNCHRON POSITION", 

Fig. 12 eine prinzipielle Darstellung von achsspezifisch, programmierbaren "elektronischen Nocken", 

Fig. 13 eine prinzipielle Darstellung eines kartesischen Nockens, 

Fig. 14 ein Ablaufdiagramm zur Uberwachung achsspezifischer elektronischer Nocken, 

Fig. 15 ein Ablaufdiagramm zur Uberwachung eines kartesischen Nockens, 

Fig. 16 ein Drehzahldiagramm zur Darstellung der Funktion "Bremsrampenuberwachung", 

Fig. 17 ein Impulsdiagramm zur Erlauterung der Freigabe der Funktion "sicher reduzierte Geschwindigkeit", 

Fig. 18 ein Ablaufdiagramm zur Erlauterung der Funktion "sicher reduzierte Geschwindigkeit", 

Fig. 19 ein Impulsdiagramm zur Erlauterung der Funktion "TIPPBETRIEB", 

Fig. 20 ein Impulsdiagramm zur Erlauterung der Funktion "PULSBETRIEB", 

Fig. 21 ein Blockschaltbild zur Ansteuerung von Bremseinheiten, 

Fig. 22 ein Ablaufdiagramm der Funktion "NOT-STOP-ROUTINE", 

Fig. 23 ein Ablaufdiagramm der Funktion "POWER DOWN MODE" und 

Fig. 24 ein Blockschaltbild von Hardware-Elementen, die bei Netzausfall aktiv sind. 

[0047] In Fig. 1 ist schematisch eine technische Anlage 10 mit erhohten Sicherheitsanforderungen dargestellt. In 
dem beschriebenen Ausfuhrungsbeispiel besteht die technische Anlage 10 aus einem Handhabungsgerat.12, das 
zusammen mit zwei Bestuckungsplatzen 16, 18, die uber zugeordnete Schutzturen 20, 22 bestuckbar sind, innerhalb 
einer Sicherheitseinrichtung wie Schutzraum 14 angeordnet ist. Das Handhabungsgerat 12 wird im Folgenden als 
Roboter 12 bezeichnet. 

[0048] Der Roboter 12 ist in dem hier beschriebenen Ausfuhrungsbeispiel urn zumindest vier Achsen 23, 25, 27, 29 
drehbar, wobei jeder Achse 23, 25, 27, 29 ein Aktor 24, 26, 28, 30 zugeordnet ist, der im Ausfuhrungsbeispiel als 
Antriebseinheit 24, 26, 28, 30 bezeichnet ist. Selbstverstandlich kann der Aktor auch ein die Antriebseinheit 24, 26, 
28, 30 mit Energie versorgendes Leistungsschutz sein. Urn den Roboter 1 2 zum Beispiel nach einem Spannungsausfall 
synchronisieren zu konnen, ist innerhalb des Schutzraumes 14 ein Synchronisationspunktbzw. Kontakt 32 angebracht. 
[0049] Befindet sich der Roboter 12 in einer Stellung uber dem Bestuckungsplatz 18, so kann die Schutztur 20 
geoffnet werden, urn den Bestuckungsplatz 16 zu bestucken. Wahrend dieser Phase wird die Position des Roboters 
1 2 in einer im Folgenden beschriebenen Art und Weise Gberwacht. Dabei sind Sensoren wie Schaltkontakte der Schutz- 
tur 20 mit Lage-lstwert-Signalen des Roboters 12 derart verknupft, dass dann, wenn der Roboter 12 seine Position 
uber dem Bestuckungsplatz 18 in einem bestimmten vorgegebenen Sicherheitsbereich vertasst, eine Abschaltung 
erzeugt wird. 

[0050] In Fig. 2 ist ein Steuerungssystem 34 dargestellt, bestehend aus einer zentralen und/oder dezentralen Steu- 
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ereinheit wie Robotersteuerung 36, den Antriebseinheiten 24 bis 30 sowie einem Uberwachungs- und Steuergerat 38, 
das im Folgenden Safety-Controller 38 genannt wird. Die Robotersteuerung 36 ist uber ein Interface 40 mit einem 
Programmierhandgerat 46 und uber eine Busleitung CAN_A mit den Antriebseinheiten 24 - 30 und dem Safety Con- 
troller 38 nach Art elnes Strangs verbunden. Ferner ist der Safety-Controller 38 uber eine Verbindungsleitung 44 mit 
5 dem Programmierhandgerat 46 verbunden. Das Programmierhandgerat 46 kann auch zur Programmierung der Ro- 
botersteuerung 36 verwendet werden, wozu das Interface 42 des Safety-Controllers 38 uber eine Busleitung CAN_C 
und das CAN-lriterface 40 mit der Robotersteuerung 36 verbunden ist. 

[0051] Die Antriebseinheiten 24 - 30 weisen einen gleichen Aufbau auf, der am Beispiel der Antriebseinheit 24 be- 
schriebeh werden soli. Zur Erfassung von Lage-lstwert-Signalen weist die Antriebseinheit 24 einen Resolver 48 auf, 

10 der mit einer redundant aufgebauten Antriebssteuerung 50 verbunden ist. Die Antriebssteuerung 50 weist zwei Kanale 
bzw. Kreise 52, 54 auf, wobei jeder Kanal einen eigeneri CAN-Controller 56, 58 beinhaltet. Die CAN-Controller 56 sind 
untereinander uber den betriebsmaGigen Bus CAN_A verbunden, der die Antriebssteuerung 50 einerseits mit der 
Robotersteuerung 36 und andererseits mit dem Safety-Controller 38 verbindet. Die CAN-Controller 58 sind unterein- 
ander uber einen weiteren Bus CAN_B verbunden, der die Controller 58 mit dem Safety-Controller 38 verbindet. Die 

15 Antriebseinheit 24 umfasst des Weiteren einen Motor, ein Leistungsteil, gegebenenfalls ein Getriebe und eine Brems- 
einheit (nicht dargestellt). 

[0052] Der Safety-Controller 38 ist ebenfalls zweikanalig aufgebaut und weist in jedem Kanal einen eigenstandigen 
Mikrocomputer 59, 60 auf. Die Mikrocomputer 59, 60 sind jeweils uber einen CAN-Controller 62, 64 mit der Busleitung 
CAN_B oder der Busleitung CAN__A verbunden. Des Weiteren sind die Mikrocomputer 59, 60 mit einer Eingangs^ 
20 Ausgangsebene 66 verbunden, urn sichere Ein- und Ausgange zu schalten bzw. einzulesen. Sichere Ein- und Aus- 
gange der Ein-Ausgangsebene 66 sind z. B. mit Kontakten der Schutzturen 20, 22 des Schutzraumes 14 verbunden. 
Zum weiteren Datenaustausch konnen die Mikrocomputer 59, 60 uber weitere CAN-Controller 68, 70 und ein Interface 
72 mit einem ubergeordneten Sicherheitsbus gekoppelt werden. 

[0053] Die Robotersteuerung 36 ubernimmt die Aufgabe aller zentralen Regel- und Steuerungsaufgaben und unter- 

25 liegt keinen sicherheitstechnischen Betrachtungsweisen. Insbesondere ist die Robotersteuerung 36 physisch unab- 
hangig von dem Safety-Controller 38, so dass betriebsmaBige Ablaufe in separaten Geraten ablaufen. Es ist vorge- 
sehen, dass der Safety-Controller uber die Eingangs-/Ausgangsebene 66 mit den Sensoren bzw. Schaltkontakten der 
Schutzturen 20, 22 und uber die Busleitungen CAN_A und CAN_B mit den Aktoren bzw. Antriebseinheiten 24, 26, 28, 
30 verbunden ist, urn deren Zustande auszuwerten, zu verarbeiten und zu steuern. In Abhangigkeit der Zustande der 

30 Schaltkontakte der Schutzturen 20, 22 und/oder der Antriebseinheiten 24, 26, 28, 30 ubertragt der Safety-Controller 
zumindest ein Freigabe-Signal an die Steuereinheit 36, so dass der Roboter 12 eine Aktion ausfuhren kann. Anschlie- 
Gend wird die Ausfuhrung der zumindest einen Aktion durch den Safety-Controller fortlaufend uberwacht. Im Fehlerfall 
wird zumindest ein weiteres Signal erzeugt, durch das die Anlage 10 in einen sicheren Zustand uberfuhrt wird. 
[0054] Bei dem weiteren Signal handelt es sich urn eine "STOP - 1" -Funktion, d. h., dass durch das Signal ein 

35 gesteuertes Stillsetzen eingeleitet wird, wobei die Energiezufuhr zu den Antrieb einheiten beibehalten wird, urn das 
Stillsetzen zu erzielen und die Energiezufuhr erst dann zu unterbrechen, wenn der Stillstand erreicht ist. 
[0055] In der Robotersteuerung 36 werden alle Lage-Sollwerte der jeweiligen Antriebseinheiten 24 - 30 berechnet 
und nacheinander uber den Bus CAN_A zu den Antriebseinheiten 24 - 30 ubertragen. Die Antriebseinheiten 24 - 30 
ubertragen jeweils einen Lage-lstwert an die Robotersteuerung uber den Bus CAN_A zuruck, woraufhin in der Robo- 

40 tersteuerung 36 Werte wie Schlupf-, Schleppabstand und andere berechnet werden konnen. 

[0056] Zur Lage-lstwert-Erfassung ist der Resolver 48 vorgesehen, der direkt uber eine Motorwelle mit dem Motor 
mechanisch gekoppelt ist. Am Ausgang des Resolvers 48 liegen analoge Istwert-Signale an, die in der Antriebssteue- 
rung 50 digitalisiert werden. Der Resolver 48 liefert der Antriebssteuerung 50 Informationen, welche zum achsspezi- 
fischen Ausregeln von Prozessen dienen. Insbesondere wird durch die Antriebssteuerung 50 eine Stromregelung fur 

45 das den Motor ansteuernde Leistungsteil erreicht. Die Istwert-lnformationen werden jedoch nicht nur uber den Bus 
CAN_A der Robotersteuerung 36, sondern auch uber die Busleitungen CAN_A und CAN_B redundant dem Safely-Con- 
troller 38 ubertragen, urn dort uberwacht zu werden. 

[0057] In Fig. 3 ist ein detallierter Aufbau des Safety-Controllers 38 dargestellt. Der Safety-Controller 38 wird von 
einem externen Netzgerat 74 mit Energie versorgt. Jedem Mikrocomputer 59, 60 ist ein eigenes Netzteil 76, 78 zuge- 

50 ordnet. das mit dem Netzgerat 74 verbunden ist. Die CAN-Controller 62, 64 sind uber Transceiver 80, 82 mit den 
Busleitungen CAN_A und CAN_B verbunden. Des Weiteren sind die Mikrocomputer 59, 60 uber die weiteren CAN-Con- 
troller 68, 70 und Transceiver 84, 86 mit einem ubergeordneten Sicherheitsbus verbunden. Das Interface 42 fur das 
Programmierhandgerat 46 ist uber den Bus CAN_C einerseits mit der Robotersteuerung 36 und andererseits mit dem 
Programmierhandgerat 46 verbunden, wobei der Bus CAN_C innerhalb des Safety-Controllers 38 physikalisch durch- 

55 geschleift ist. 

[0058] Die Mikrocomputer 59, 60 sind uber eine Verbindung 88 zum Datenaustausch miteinander verbunden. Auf 

diese Weise konnen die in den einzelnen Kanalen empfangenen Ist-Werte miteinander verglichen werden. 

[0059] Alternativ zu dem Programmierhandgerat 46 kann der Safety-Controller 38 und/oder das Steuergerat 36 auch 
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uberein Bedienfeld (nicht dargestellt) bedient werden, dessen Schnittstelle Bestandteil des Safety-Controllers 38 und 
mit zumindest einem der Mikrocomputer 59, 60 verbunden ist. 

[0060] Die Ein-/Ausgabeeinheit 66 umfasst eine Ausgangsebene 92 und eine Eingangsebene 94. Die Ausgangs- 
ebene umfasst Schalttransistoren, die von den Mikrocomputern 59, 60 ansteuerbar sind. Die Eingangsebene 94 um- 

5 f asst Eingange, an denen Sicherheitsschaltgerate wie Not/Aus-Schalter oder andere Schaltkontakte anschlieBbar sind. 
Ein Sicherheitsschaltgerat wird zwischen jeweils einen Eingang des ersten und zweiten Mikrocomputers 59, 60 oder 
einen Ausgang des ersten und zweiten Mikrocomputers 59, 60 geschaltet. Die Eingange sind Leseeingange des je- 
weiligen Mikrocomputers 59, 60 und die Ausgange sind jeweils Schreibausgange der Mikrocomputer 59, 60. An die 
Ausgangsebene 92 sind z. B. Aktoren wie Leistungsschutze zur Schaltung eines Freigabesignals anschlieBbar. Die 

10 Eingangsebene 94 ist zum Anschluss von Sensoren wie Schaltkontakten, Not-Aus-Schaltern, Naherungsschaltern u. 
a. vorgesehen. Grundsatzlich erfolgt die Ansteuerung der technischen Anlage 12 mit zugehoriger Steuerung 36 und 
Antriebseinheiten 24 - 30 uber Leistungsschutze bzw. Hauptschutze K1, K2, die unmittelbar mit einem Ausgang des 
Uberwachungs- und Steuergerates 38 verbunden sind. 

[0061] Alternativ kann die Ansteuerung auch gemaB der Anordnung in Fig. 4 erfolgen, wobei Ausgange des Uber- 

15 wachungs- und Steuergerates 38 eingespart werden konnen. 

[00iB2] In Fig. 4 ist ein Prinzipschaltbild zur Ansteuerung der Leistungseinheit der Antriebseinheiten 24 - 30 darge- 
stellt. Dabei sind Uberwachungsschaltkontakte der Schutzturen 20, 22 mit einem Sicherheitsrelaisbaustein 96 verbun- 
den. Ausgange des Safety-Controllers 38 sind mit einem zweiten Sicherheitsrelaisbaustein 98 verbunden. Die Aus- 
gange der Sieherheitsrelaisbausteine sind miteinander gekoppelt und steuern Hauptschutze K1 , K2 eines Leistungs- 

20 schalters 1 00. Uber die Hauptschutze Ki, K2 wird die Antriebseinheit mit Energie versorgt. Die Ansteuerung der Haupt- 
schutze K1 , K2 erfolgt entweder uber den Safety-Controller 38, die Schutzturen 20, 22 oder einer Verknupfung beider 
Signale. 

[0063] Die Robotersteuerung 36 kann insgesamt 24 Antriebseinheiten ansteuern, wobei der Safety-Controller 38 in 
der Lage ist, diese Anzahl von Achsen zu uberwachen. 

25 [0064] Der Safety-Controller 38 erhalt die Lage-lstwerte der jeweiligen Antriebseinheiten 24 - 30 uber die Busse 
CAN_A und CAN_B. Beide Busse dienen der redundanten Lage-lstwerterfassung. Der Bus CAN„A stellt einen be- 
triebsmaBigen Bus fur die Robotersteuerung 36 dar, wobei der Bus CAN_B eine zusatzliche in das System integrierte 
Obertragungsstrecke darstellt, urn Redundanz zu erreichen. Da es sich in diesem Fall urn zwei unabhangige Ubertra- 
gungsmedien handelt, ist die Zweitfehlereintrittszeit ausschlaggebend fur die Aufdeckung von Hardware-Fehlern in 

30 einer der beiden Ubertragungsstrecken. Alle uber die Busse CAN_ A oder CANLB ubertragenen Nachrichten werden 
in den separaten CAN-Controllern 62, 64 aufbereitet und dem jeweiligen Mikrocomputer 59, 60 zur Verfugung gestellt. 
Die ubergeordneten Mikrocomputer 59, 60 sind ebenfalls entkoppelt. Hier handelt es sich somit urn ein vollig redun- 
dantes System, was sowohl das Ubertragungsmedium als auch die Verarbeitung von empfangenen Nachrichten an- 
geht. 

35 [0065] Samtliche sicherheitsrelevanten Signale werden auf die Eingange der Eingangsebene 94 gelegt. Auf diese 
Weise ubernimmt der Safety-Controller 38 neben Uberwachungsaufgaben auch die Auswertung von Sensoren wie 
elektromechanischer Sicherheitsschalter. Uber die Ausgangsebene 92 konnen Aktoren wie externe elektromechani- 
sche Relaiskombinationen angesteuert werden, welche dann mit externen Signalen, zum Beispiel Schutztur-Signalen 
verknupft werden konnen oder die Ausgange des Safety-Controllers 38 werden direkt mit den Leitungsschutzen K1, 

40 K2 verbunden. 

[0066] In Fig. 5 ist ein Blockschaltbild der Antriebssteuerung 50 mit Resolver 48 dargestellt. Die Antriebssteuerung 
50 besteht aus den redundanten Kreisen 52 und 54. Der Kreis 52 weist einen Mikrocomputer 1 02 auf, der den C AN-Con- 
troller 56 als integralen Bestandteil und Chip aufweist. Uber einen Transceiver 104 ist der CAN-Controller 56 mit dem 
Bus CAN_A, bestehend aus den Datenleitungen CAN_A_H und CAN_AJ_ verbunden. Des Weiteren enthalt der Mi- 

45 krocomputer 102 ein internes SRAM 106, eine IO-Steuerung 108 sowie eine IR-Verarbeitung.110 und ist uber einen 
Bus 112 mit einem Analog-Digitalwandler verbunden. Ein Ausgang 116 des Analog-Digitalwandlers 114 ist einerseits 
direkt mit dem Mikrocomputer 102 und andererseits uber einen Teiler 118 mit dem Mikrocomputer 102 verbunden. 
[0067] Der zweite Kanal 54 weist einen ersten Signalprozessor 120 mit einem internen SRAM-Speicher 122 sowie 
einer internen IR-Verarbeitung 124 auf. Der erste Signalprozessor 120 ist uber ein DPRAM 126 mit einem zweiten 

so Signalprozessor 128 verbunden. Dieser wiederum ist uber ein DPRAM 130 mit dem Mikrocomputer 102 gekoppelt. 
Der Signalprozessor 1 28 ist mit einer Ansteuerung 1 32 verbunden, die den CAN-Controller 58 steuert. Der CAN-Con- 
troller 58 ist uber einen Transceiver 134 mit dem Bus CAN_B verbunden, der die Leitungen CAN_BJH und CAN_B_L 
umfasst. 

[0068] Uber einen Bus ist der Signalprozessor 1 20 einerseits mit einem Analog-Digitalwandler 1 36 und andererseits 
55 mit einem Steuerwerk 138 verbunden, in dem ein Timer, ein Zahlwerk und ein Zustandsgenerator enthaiten sind. Das 
Steuerwerk 1 38 ist des Weiteren uber einen Bus mit dem Mikrocomputer 1 02 verbunden. Auch ist das Steuerwerk 1 38 
uber einen Bus mit einem Frequenzgenerator 140 verbunden, der ein Referenzsignal fur den Resolver 48 erzeugt. 
Dafur ist ein Ausgang des Frequenzgenerators 140 mit einem Eingang 142 des Resolvers verbunden. SchlieBlich 
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weist das Steuerwerk 138 einen weiteren Ausgang auf, an dem ein Signal SOC (start of convertion) anliegt. Dieser 
Ausgang ist mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. 

[0069] Der Resolver weist einen ersten Ausgang 1 44 auf, an dem ein Sinus-Signal abgreifbar ist. Der erste Ausgang 
144 ist uber einen Verstarker jeweils mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. Ferner weist 

5 der Resolver einen zweiten Ausgang 146 auf, an dem ein Cosinus-Signal abgreifbar ist. Der zweite Ausgang 146 ist 
uber einen Verstarker jeweils mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. Der Resolver 48 ist 
uber eine Welle 148 und einem Motor 150 gekoppelt. Dabei ist der Resolver 48 synchron zu Motorphasen justiert. 
[0070] Mit Bezug zu Fig. 2 ist anzumerken, dass die Antriebssteuerung 50 eine eigenstandige Einheit darstellt, wobei 
der Safety-Controller 38 keinerlei Einfluss auf die Antriebssteuerung 50 ausubt. Detektiert die Antriebssteuerung 50 

10 einen Fehler, so wird diese Meldung direkt an den Safety-Controller 38 gemeldet Oder in der Antriebssteuerung 50 
wird eine Impulssperre aktiviert, d. h. das Senden von Istwert-lnformationen wird eingestellt. Da der Safety-Controller 
38 eine Zeiterwartungsschaltung gegenuber den Istwert-Signalen.hat, fuhrt das Fehlen dieser Istwert-Signale dazu, 
dass die Hauptschutze K1 und K2 durch den Safety-Controller 38 abgeschaltet werden, wodurch die Anlage in einen 
sicheren Zustand uberftihrt wird. 

15 [0071] Die Istwert-Generierung erfolgt, indem dem Resolver 48 uber den Eingang 142 ein Referenzsignal zugefuhrt 
wird. Das Referenzsignal wird in dem Referenzfrequenzgenerator 140 erzeugt, der vom Steuerwerk 138 angesteuert 
wird. In dem Steuerwerk 138 ist ein zentraler Timer integriert, der Impulse fur eine Zahlstufe und einen damit verbun- 
denen Zustandsgenerator erzeugt. Im Scheitelpunkt der Referenzspannung liegt das Signal SOC (start of convertion) 
fur die Analog-Digitalwandler 114, 136 an. Neben einer Spule, der das Referenzsignal zugefuhrt wird, weist der Re- 

20 . solver 48 zwei weitere Spulen auf, die vorzugsweise mit der Motorwelle gekoppelt sind und an denen eine Sinus- und 
Cosinus-Spannung abgreifbar ist. 

[0072] Der Referenzspule wird das Referenzsignal vorgegeben, welches induktiv auf die Sinus- und Cosinus-Spule 
gekoppelt wird. Je nach Lage der Sinus-/Cosinus-Spule erhalt man ein SinusVCosinus-Signal an den Ausgangen 144, 
146 mit konstanter Amplitude und Frequenz. Je nach Lage des Rotors resultiert eine Phasenverschiebung (0 ... 360°) 

25 zwischen dem Referenzsignal und den Sinus- bzw. Cosinus-Signalen. Im Scheitelpunkt des Referenzsignals bzw. der 
Referenzspannung werden die Sinus- und Cosinus-Signale abgetastet und aus dem Verhaltnis der beiden Amplituden 
wird eine Ist-Position innerhalb einer Resolverumdrehung berechnet. Ein Rotationswinkel <p von 0 bis 360° entspricht 
bei einer Aufldsung von 12 Bit einem Istwert von 0 bis 4096 Inkrementen . Der Resolver 48 muss synchron zu der 
Motorphase justiert werden, urn ein maximales Drehmoment zu liefern. Das heiBt, der Phasenwinkel (p = 0 ist einzu- 

30 stellen. Beim GroBerwerden des Phasenwinkels nimmt das Drehmoment des Motors stetig ab und ist bei <p = +90° 
und 9 = -90° genau Null. Ubersteigt der Phasenwinkel <p = ± 90°, entsteht eine Umpolung der Wirkrichtung, d. h. eine 
positive Drehzahlvorgabe bewirkt, dass der Motor in negative Richtung dreht. Dadurch wurde der Regelkreis in einen . 
instabilen Zustand kippen, und der Motor ware nicht mehr regelbar. 

[0073] Urn eine solche Umpolung der Wirkrichtung zu erkennen, ist in der Motorsteuerung eine Drehzahlplausibili- 
35 tatsprufung vorgesehen. Dabei wird das Vorzeichen des Drehzahl- bzw. Lage-Sollwertes standig mit dem Vorzeichen 
des Drehzahl- bzw. Lage-lstwertes verglichen. Sind beide Vorzeichen uber eine definierte Zeitdauer kontrar, so kann 
davon ausgegangen werden, dass eine Umkehr der Wirkrichtung vorliegt. Das Beobachten uber eine definierte Zeit- 
dauer ist notwendig, urn zu verhindern, dass bei betriebsmaBigen Regelschwingungen die Oberwachung nicht an- 
spricht. 

40 [0074] Die an den Ausgangen 144, 146 des Resolvers 48 anliegenden Sinus- bzw. Cosinus-Signale werden den 
Analog-Digitalwandlern 114, 136 zugefuhrt. Nach erfolgter Wandlung liefert der Analog-Digitalwandler 136 ein Signal 
EOC (end of conversion), wodurch der Betriebssystemzyklus des Signalprozessors 120 angestoBen wird. Nur dann, 
wenn der Betriebssystemzyklus ordnungsgemaB ablauft, werden die entsprechenden Lage-lstwerte uber das DPRAM 
126 an den Signalprozessor 128 weitergeleitet, der diese uber die Ansteuerung 132, den CAN-Controller 38 und den 

45 Transceiver 1 34 auf den Bus CAN_B ubertragt, uber den die Ist-Werte zu dem Safety-Controller 38 ubertragen werden. 
Sollte der Betriebssystemzyklus nicht ordnungsgemaB angestoBen werden, wird ein Signal "STOP- 0" uber den Bus 
CAN_B an den Safety-Controller 38 gesendet. Die Fehlermeldung "STOP - 0" bewirkt ein Stillsetzen der Anlage durch 
ein sofortiges Ausschalten der Energiezufuhr zu den Antriebseinheiten, was auch als ungesteuertes Stiilsetzen be- 
zeichnet wird. 

so [0075] Der AD-Wandler 114 liefert nach erfolgreicher Wandlung der Eingangssignale ein Signal EOC (end of con- 
version), welches uber den Timer 1 1 8 in einen Interrupt- Eingang des Mikrocomputers 1 02 geleitet wird. Intern wird die 
Zeit zwischen zwei eingetroffenen EOC-lnterrupts gemessen, urn eine Abweichung der Referenzfrequenz vom Fre- 
quenznormal, vorzugsweise 7,5 kH, oder ein volliges Ausbleiben der Referenzfrequenz, z. B. beim Ausf all des zentralen 
Timers festzustellen. In diesem Fall wird eine Impulssperre aktiviert und es erfolgt ein Signal "STOP - 0° uber den Bus 

55 CAN_A an den Safety-Controller 38. 

[0076] Sobald der Signalprozessor 120 das Signal EOC erhalt, wird ein interner Timer angestoBen, der in einem 
zyklischen Verwaltungsteil des Betriebssystems dekrementiert wird und dann anspricht, wenn der Zahlerstand den 
Wert Null erreicht, d. h. wenn das Signal EOC ausfallt. Auch in diesem Fall wird die Impulssperre aktiviert. Durch die 
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Impulssperre wird der Motor "momentenfrei" geschaltet. Bei Ansprechen des Watchdogs wird ein Hardware-Test aus- 
gelost und der Safety-Controller 38 uberfuhrt die Anlage 12 in einen sicheren Zustand. 

[0077] Ferner sind eine Vielzahl von MaBnahmen zur Fehlererkennung und Fehlerbehandlung vorgesehen. Zur 
Oberprufung der Analog-digitalwandler 114, 136, des Referenzfrequenzgenerators 140sowie der Ausgange 144, 146 

5 des Resolvers 48 wird eine Plausibilitatsprufung durchgefuhrt. Die Plausibilitatsprufung erfolgt uber die beiden Ampli- 
tuden der SinusVCosinus-Signale des Resolvers 48 in der Weise, dass die Summe der Amplitudenquadrate (sin cp ) 2 
+ (cos <p ) 2 idealerweise die Summe x mit x im Bereich von 0,9 < x < 1 ,1 vorzugsweise x = I ergibt. Urn ein Ansprechen 
der Plausibilitatsprufung aufgrund von Storungen wie z. B. Rauschen auf den Signalleitungen zu unterdrucken, wird 
die Summe x mit einem definierten Toleranzfenster versehen. Voraussetzung fur die Plausibilitatsprufung ist die Nor- 

id mierung der Sinus-/Cosinus-Signale, die einmal festgelegt und anschlieBend nicht mehr geandert werden. 

[0078] Bei nicht-plausiblen Amplituden fur Sinus- und Cosinus-Signale sendet jeder Kanal 52, 54 separat das Signal 
"STOP - 0" an den Safety-Controller 38. Die Istwert-Bildung und die Plausibilitatsprufung werden redundant in den 
Mikrocomputern 102, 120 ausgefuhrt, wobei der Mikrocomputer 102 mit einer reduzierten Erfassungsrate arbeitet. 
Eine Erfassung je 32 Perioden entspricht 32 x 132 jis = 4,2 ms (10 ms/U bei max. 6000 U/min). Der Mikrocomputer 

15 102 sendet seine Ist-Werte uber den Bus CAN_A, und der Mikrocomputer 120 sendet seine Ist-Werte uber den Si- 
gnalprozessor und den Bus CAN_B an den Safety-Controller 38, der als sicherer Vergleicher die empfangenen Werte 
pruft. Gleichzeitig fuhren die Mikrocomputer 102 und 120, 128 uber das DPRAM 130 einen internen Kreuzvergleich 
durch und reagieren im Fehlerfall durch Betatigen der Motorbremse und Aktivierung der Impulssperre und Absetzen 
des Signals "STOP - 0" uber die Busse CAN_A und CAN_B. Hier sei angemerkt, dass die Aktivierung der Impulssperre 

20 den Motor schneller stillsetzt als der Safety-Controller 38. 

[0079] Zur Oberwachung des statischen Versatzes zwischen Geber und Motorwelle bzw. zur Oberprufung einer Fehl- 
justierung des Resolvers 48 sowie zur Oberprufung eines dynamisch unkontrollierten Schlupfes zwischen Resolver 
48 und Motorwelle 148 wird eine Drehzahl-Plausibilitatsprufung durchgefuhrt. Auch die Drehzahlplausibilitatsprufung 
erfolgt redundant in den Mikrocomputern 102, 120. Beide Mikrocomputer 102, 120 senden im Falle einer ansprechen- 

25 den Oberwachung unabhangig voneinander das Signal "STOP - 0" uber die Busse CAN_A bzw. CAN_B an den Safe- 
ty-Controller 38. Die Drehzahl-Plausibilitatsprufung kann nur ordnungsgemaB arbeiten, wenn die Lage- und Drehzahl- 
regelung aktiv ist, d. h. im Normalbetrieb bei eingeschalteten Antrieben. 

[0080] In einem sogenannten "Power-Down-Modus", d. h. die Antriebe liegen nicht an Betriebsspannung, wird eine 
Stillstandsprufung von den Mikrocomputern 102. 120 durchgefuhrt, in dem die Istwerte der Antriebe erfasst werden. 
30 Erfolgt eine Veranderung der Istwerte uber eine eingestellte Toleranzgrenze hinaus, wird in den Mikrocomputern ein 
Merker "Maschine asynchron" gesetzt. Die beiden Asynchron-Merker werden nach dem Wiederanlauf an den Safe- 
ty-Controller 38 gesendet und dort verglichen. 

[0081 ] Des Weiteren erfolgt eine Drehzahl-Plausibijitatsprufung, urn eine Umpolung der Wirkrichtung mit Antrieb zu 
erkennen. Dabei wird ein Vorzeichen des Drehzahl- bzw. Lage-Sollwertes standig mit einem Vorzeichen des Drehzahl- 
35 bzw. Lage-lstwertes verglichen. Sind beide Vorzeichen uber eine definierte Zeitdauer kontrar, so kann davon ausge- 
gangen werden, dass eine umgekehrte Wirkrichtung voiiiegt. Das Beobachten uber eine definierte Zeitdauer ist not- 
wendig urn zu verhindern, dass bei betriebsmaBigen Regelschwingungen die Oberwachung anspricht. Die zulassige 
Regelschwingung muss definiert sein. 

[0082] Bei einem Phasenversatz zwischen Resolver 48 und Motorwelle 1 48, der kleiner ist als ± 90° sowie bei einem 

40 dynamisch unkontrollierten Schlupf des Resolvers auf der Motorwelle 1 48 spricht eine zweikanalige Schleppabstands- 
uberwachung in dem Signalprozessor 128 sowie dem Mikrocomputer 102 an. Zunachst wird eine Differenz zwischen 
Lage-lstwert und Lage-Sollwert (Regelabweichung) gebildet. AnschlieBend erfolgt eine Prufung, ob die ermitteite Re- 
gelabweichung innerhalb eines Toleranzbereichs liegt. Bei Oberschreiten des Toleranzbereichs fordert der Mikrocom- 
puter 102 und der Signalprozessor 128 das Signal "STOP - 0" vom Safety-Controller 38 an. Die Schleppstandsprufung 

45 wird in jedem Lage-Regeltakt durchgefuhrt, der vorzugsweise 2 ms betragt. 

[0083] Des Weiteren erfolgen interne Fehleraufdeckungsmechanismen in dem Mikrocomputer 102 sowie dem Mi- 
krocomputer 120. Das Signal EOC des AD-Wandlers 114 wird dem Mikrocomputer 102 uber zwei Interrupt-Eingange 
152, 154 gesendet. Dem Eingang 152 wird das Signal EOC unmittelbar zugef uhrt, wobei der Eingang 154 das Signal 
EOC erhalt, nachdem es den programmierbaren Teiler 118. vorzugweise mit einem Teilerverhaltnis 1 : 32 durchlaufen 

so hat. Im Normalbetrieb ist nur der Eingang 154 aktiv. Im "Power Down-Modus" ist nur der Interrupt-Eingang 152 aktiv, 
da der Teilerbaustein 118 im "Power-Down-Modus" spannungslos ist. Im Normalbetrieb ist die Zeit zwischen zwei 
Betriebssystem- Durchlaufen vorzugsweise 2 ms, kleiner als die Zeit zwischen zwei Signalen EOC, vorzugsweise 4 
ms. Liegt ein Signal EOC am Interrupt-Eingang 1 54 an, wird eine Interrupt-Routine angesprungen, in welcher folgende 
Aktionen ausgefuhrt werden: Zunachst wird ein Interrupt-Merker gesetzt, dann wird ein Zahler (Wertebereich 0...2000 

55 ms) ausgelesen und abgelegt und anschlieBend wird der uber den Bus 112 zugefuhrte Digitalwert gelesen und abge- 
speichert. Das Betriebssystem testet in jedem Durchlauf den Interrupt-Merker urn zu prufen, ob zuvor ein Interrupt 
aufgetreten ist. Ist kein Interrupt aufgetreten, wird lediglich ein Betriebssystemzyklus-Zahler inkrementiert. Ist hingegen 
ein Interrupt aufgetreten, wird aus der Differenz Tlmer-Zahler (aktuell) minus Timer-Zahler (Vorganger) und aus der 



EP 1 239 354 B1 



Anzahl der Betriebssystemzyklen die genaue Zeit zwischen zwei Signalen EOC und somit die Frequenz bestimmt. 
Weiterhin wird der abgelegte konvertierte Digitalwert verarbeitet und der Betriebssystem-Zyklus-Zahler sowie der In- 
terrupt-Merker auf Null gesetzt. Wird nach einer definierten Zahl von Betriebssystem-Durchlaufen kein Interrupt regi- 
striert, wird davon ausgegangen, dass ein Hardware-Fehler im zentralen Timer 138 vorliegt. 

5 [0084] In dem Mikrocomputer 120 erfolgt keine Frequenzprufung des Signals EOC, sondern nur eine Prufung auf 
Vorhandensein des Signals EOC uber einen Software-Watchdog. Bei Eintreffen des Signals EOC an den Mikrocom- 
puter 120 erfolgt ein Interrupt, wodurch ein interner Timer aufgezogen wird, der in einem zyklischen Verwaltungsteil 
(Warten auf Interrupt) des Betriebssystems dekrementiert wird und dann anspricht, wenn der Timer den Zustand Null 
aufweist, d. h., wenn das Signal EOC ausgefallen ist. In diesem Fall wird die Impulssperre aktiviert. 

w [0085] Bei Aktivierung der Impulssperre wird ein Steuereingang eines IGBT-Leistungsteils zuruckgenommen, wo- 
durch der Antrieb "momentenfrei" wird. Fur diesen Steuereingang werden in einer Hardware die Ansteuersignale des 
Kanals 52 und des Kanals 54 miteinander verkniipft. Wird ein Ansteuersignal eines Kanals 52, 54 zuruckgenommen, 
wird die Impulssperre an dem IGBT gesetzt. Die Ansteuerung der Impulssperre ist zweikanalig und wird erst nach der 
Verknupfung in der Hardware einkanalig. 

15 [0086] Zur Istwert-Aufnahme durch den Safety-Controller 38 ist Folgendes anzumerken. Als erster Kanal fur eine 
redundante Istwert-Aufnahme dient dem Safety-Controller 38 der betriebsmaBig Bus CAN_A. Auf diesem Bus werden 
neben den Istwert-Signalen auch betriebsmaBige Daten ubertragen. Die Ubertragungsgeschwindigkeit kann bis zu 1 
Mbit/s betragen. Da der Bus bis 92 % ausgelastet sein kann, erfolgt keine Sicherung der Datenbites auf einer hoheren 
Ebene. Der Safety-Controller 38 filtert sich aus den anstehenden Informationen die Istwert-Signale heraus. 

20 [0087] Der zweite Kanal ist ein zusatzlicher physikalisch getrennter Bus CAN_B. Seine Funktion ist es, die zweiten 
Kanale 54 der Antriebseinheiten zur Istwert-Erfassung mit dem zweiten Kanal des Safety-Controllers 38 zu verbinden. 
Die in dem Kanal 54 der Antriebssteuerung 50 generierten Daten werden unabhangig von Kanal 52 auf den Bus CAN_B 
gelegt. Somit erfolgt eine redundante unabhangige Datenubertragung in den Safety-Controller 38. In dem Safety-Con- 
troller 38 werden die Daten mit getrennten Transceivern 80, 82 aufgenommen und mit getrennten CAN-Controllern 

25 62, 64 verarbeitet. 

[0088] Liegt eine Nachricht an dem Transceiver 80, 82 an, wird diese dem CAN-Controller 62, 64 gemeldet. Der 
CAN-Controller 62, 64 entscheidet, ob diese Nachricht mit einem Identifier beginnt, welcher als Istwert-lnformation 
deklariert wurde. Ist dies der Fall, so lost dieser ein Interrupt in dem Mikrocomputer 59, 60 aus. Der Mikrocomputer 
59, 60 liest den CAN-Controller 62, 64 aus. Hat der Mikrocomputer 59, 60 alle Istwerte innerhalb einer definierten Zeit 
30 erhalten, laufen die Transformationsroutinen ab. Dieser Vorgang geschieht in beiden Mikrocomputern 59, 60 unab- 
hangig. 

[0089] Die Robotersteuerung 36 und/oder der Safety-Controller 38 werden uber das Programmierhandgerat 46 pro- 
grammiert. Das.Programmierhandgerat 46 ist uber eine flexible Leitung 44 mit dem Safety-Controller 38 und dem Bus 
CAN_C verbunden, urn Programmierbefehle vom Programmierhandgerat 46 zu der Robotersteuerung 36 zu ubertra- 
35 gen. Diese Busleitung ist innerhalb des Safety-Controllers 38 durchgeschliffen und hat keine elektrische Verbindung 
mit den internen Komponenten, wie z. B. den Mikrocomputern des Safety-Controllers 38. 

[0090] Neben den betriebsmaBigen Funktionstasten enthalt das Programmierhandgerat 46 sicherheitsgerichtete 
Schalterbzw. Taster wie Notaus-Schalter, Betriebsartenwahlschalter, Zustimmungslaster, Eintaster und Austaster. Die 
Ausfuhrung der sicherheitsrelevanten Schaltelemente des Programmierhandgerates 46 wird anhand der Fig. 6 bis 9 
40 erlautert. 

[0091] Ein im Programmierhandgerat 46 integrierter Notaus-Schalter 156 (Fig. 6) wird auf Querschluss uberwacht, 
da die Zuleitung 44 starken Beanspruchungen unterworfen ist. Die Querschluss-Erkennung wird mit Hilfe von durch 
Schaltelemente 158, 160 erzeugte Impulse uber jeweils einen Kanal 162, 164 realisiert. Die Kanale bzw. Leitungen 
1 62, 1 64 sind uber die Schaltelemente 1 58, 1 60 mit einer externen Versorgungspannung innerhalb des Programmier- 

45 handgerates 46 verbunden. Die Leitungen 1 62, 1 64 sind mit Eingangen 1 68, 1 70 des Safety-Controllers 38 verbunden. 
Die Schaltelemente erzeugen einen Takt zum Testen der Leitungen 162, 164 innerhalb von Halbleitergruppen in dem 
Safety-Controller 38. Dieser hat gegenuber dem erzeugten Takt eine Zeiterwartungshaltung. Wird ein Kanal 162, 164 
mit einem Takt beaufschlagt, werden alle weiteren Eingange 168, 170 auf Eingangs-Zustandsanderungen uberwacht. 
Die Freigabe eines Ausgangs wird erst erlaubt, nachdem das Programmierhandgerat 46 die jeweiligen Impulse uber 

50 die Notaus-Kanale 1 62, 1 64 gesendet hat und die Zeiterwartung gesetzt wurde. 

[0092] Des Weiteren weist das Programmierhandgerat 46 einen Betriebsartenwahlschalter 172 (Fig. 7) auf, der als 
Schlusselschalter ausgebildet ist. Das Programmierhandgerat erzeugt uber einen Taktgenerator 174 einen Takt, der 
sich von dem Takt der Notaus-Einrichtung unterscheidet. Die Stellung des Betriebsarten-Wahlschalters 172 wird einer 
Plausibilitatsprufung unterzogen. Der Betriebsartenwahlschalter weist in dem hier beschriebenen Ausfuhrungsbeispiel 

55 drei SchlieBerkontakte 1 76, 1 78, 1 80 auf, wobei ein SchlieBer des Betriebsartenwahlschalters 1 72 immer geschiossen 
sein muss und zwei SchlieBer immer im geoffneten Zustand bleiben mussen. Es wird nur eine Stellung des Betriebs- 
artenwahlschalters akzeptiert. Insgesamt konnen drei Funktionsarten eingestellt werden. Dabei ist die Funktionsart 
°AUTO n nur mit geschlossenem Schutzgitter (20, 22) moglich. Die Funktion "EINRICHTEN" wird auf sicher reduzierte 
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Geschwindigkeit, wie nachfolgend eriautert, uberwacht und die Funktion "AUTOTEST" kann nur mit Hilfe eines Zu- 
stimmungstasters 182 ausgefuhrt werden. 

[0093] In Fig. 8 ist prinzipiell die Funktion des Zustimmungstasters 182 dargestellt. Der Zustimmungstaster ist uber 
einen Taktgenerator 184 mit der Versorgungsspannung 166 verbunden. 

5 [0094] Ein Eingang 186 des Safety-Controllers 38 uberwacht den Takt des Taktgenerators 184. Der Zustimmungs- 
taster ist als einkanaliger, dreistufiger Taster ausgefuhrt. Dabei wird nur die mittlere Stufe (EIN) ausgewertet. 
[0095] Die Antriebseinrichtungen werden durch einen handelsublichen, nicht sicherheitsgerichteten Taster 1 88 des 
Programmierhandgerates 46 eingeschaltet. Die Information wird uber den CAN_C in die Robotersteuerung 36 einge- 
lesen und uber den Bus CAN_A dem Safety-Controller 38 mitgeteilt. Die Funktion "ANTRIEB AUS" wird durch einen 

10 handelsublichen Taster mit Offnerfunktion ausgelost. Diese Funktion darf von beliebig vielen Stellen aus erfolgen. 
Diese Information wird in den Safety-Controller 38 eingelesen und uber den Bus CAN_A der Robotersteuerung mit- 
geteilt. 

[0096] Wie schon zuvor erwahnt, kann der Safety-Controller 38 und/oder die Robotersteuerung 36 uber das Pro- 
grammierhandgerat46 parametriert werden. In dem Programmierhandgerat ist eine Betriebs- bzw. Anwendersoftware 

15 enthalten. Nach der vollstandigen Parametrierung muss der Bediener einen Abnahmetest durchfuhren und sicher- 
heitsrelevante Funktionen testen. Sicherheitsrelevante, nicht veranderliche Daten, welche als Grundparametrierung 
geiaden werden mussen, konnen mit Hilfe eines Personalcomputers uber eine serielle Schnittstelle geladen werden. 
Alle geladenen Daten werden zwecks Bestatigung durch den Anwender in ein anderes Format und Darstellung vom 
Safety-Controller 38 zum Personalcomputer zuriickgeschickt. Der Anwender muss die empf angenen Daten bestatigen. 

20 [0097] Nach dem Stand der Technik weisen Handhabungsgerate mechanische Nocken auf, die jeweilige Sicher- 
heitsbereiche absichern. Diese Nocken befinden sich entweder direkt auf den Roboterachsen oder falls es.sich urn 
Linearachsen handelt, sind diese Nocken zum Beispiel als Endschalter am Ende einer Bahn ausgebildet. 
[0098] ErfindungsgemaB ist vorgesehen, dass.die Bewegungen des Roboters 12 urn seine Achsen uber "elektroni- 
sche Nocken" gesichert sind. Dabei ist der "elektronische Nocken" als Wertebereich in einem Speicher der Mikrocom- 

25 puter 59, 60 im Safety-Controller 38 abgespeichert, dem ein bestimmter Bewegungsbereich des Roboters zugeordnet 
ist. wobei die abgespeicherten Werte mit uber den Bussen CAN_A und CAN _B ubertragenen Lage-lstwerten vergli- 
chen werden. Solange sich der Antrieb, d. h. die Lage-lstwerte im definierten Bereich des elektronischen Nockens 
befindet, wird dies als korrekte Funktion definiert. Die zu uberwachende Achse befindet sich in ihrer Sollposition. Wird 
der elektronische Nocken, d. h. der gespeicherte Wertebereich verlassen, verlasst die Achse ihre Sollposition und der 

30 Safety-Controller 38 nimmt einen Ausgang, der diesem Wertebereich zugeordnet ist, zuruck. Dieser Ausgang kann 
direkt auf die Hauptschutze K1, K2 wirken oder kann uber Relaiskombinationen mit externen Schutzeinrichtungen, 
wie zum Beispiel den Schutzturkontakten 20, 22, verknupft werden. 

[0099] Wenn eine Bedienperson den Schutzraum 14 betreten mochte, wird eine Sicherheitsposition bzw. "SAFE 
POSITION" angefahren. In diesem Fall werden alle Achsen 23 - 29 auf Stillstand uberwacht. Die Sicherheitsposition 

35 kann ausgewahlt oder automatisch angefordert werden, wobei durch das Uberwachungs- und Steuergerat beim An- 
fordern uber die Robotersteuerung 36 eine aktive Uberwachung dieser Funktion automatisch erfolgt. 
[0100] Wird die Sicherheitsposition von der Robotersteuerung 36 angefordert, fahrt der Roboter 12 in eine definierte 
Position. Wenn alle Antriebseinheiten 24 - 30 bzw. alle Achsen 23 - 29 zum Stillstand gekommen sind, setzt der Safe- 
ty-Controller 38 in der Ausgangsebene 92 einen Ausgang. Dieser Ausgang ist zum Beispiel mit einem Sicherheitskon- 

40 takt der Schutztur 20, 22 verknupft. Die Schutztur 20, 22 kann geoffnet werden, ohne dass eine Fehlermeldung eine 
Abschaltung erzeugt, da der Roboter 1 2 auf Stillstand uberwacht wird. Verlasst eine der Antriebseinheiten 24 - 30 bzw. 
eine der Achsen die uberwachte Position, nimmt der Safety-Controller 38 den vorher gesetzten Ausgang zuruck. Dieser 
Ausgang ist entsprechend der Steuerungskategorie 3 nach EN 954 - 1 extern mit der Schutztur 20, 22 verknupft. Wird 
die Schutztur 20, 22 geoffnet, wahrend sich eine oder mehrere Antriebseinheiten 24 - 30 bewegen, fallt der Ausgang 

45 des Safety-Controllers 38 beim Offnen der Schutztur 20, 22 ab und die Hauptschutze K1 und K2 werden nicht weiter 
bestromt (vgl. Fig. 4). 

[0101] In Fig. 10 ist ein Ablaufdiagramm 190 dargestellt, in dem die Ablaufschritte zur Einstellung der Sicherheits- 
position (SAFE POSITION) aufgezeigt werden. Der Programmablauf erfolgt redundant in den Mikrocomputern 59, 60 
des Safety-Controllers 38. Die Eriauterung erfolgt anhand des Programmablaufs in dem Mikrocomputer 59 (CPU 1). 

so in einem ersten Schritt 192 fordert die Robotersteuerung 36 uber den Bus CAN_A die Sicherheitsposition an. Ober 
eine Eingabe 194, 194' werden den jeweiligen Mikrocomputern 59, 60 die redundanten Lage-lstwerte uber die Busse 
CAN_A und CAN_B zugefuhrt. Der Empfang der Anforderung der Robotersteuerung startet in einem Schritt 196, 196' 
den Programmablauf. In einem zweiten Schritt 198, 198' wird abgefragt, ob eine Anforderung der Sicherheitsposition 
voriiegt. Liegt eine Anforderung an, wird in einem nachsten Programmschritt 200, 200' der aktuelle Lagelstwert aller 

55 Achsen mit der Sicherheitsposition verglichen. In einem nachsten Programmschritt 202, 202' wird festgestellt, ob der 
Lage-lstwert im Bereich der Sicherheitsposition liegt. Wenn dies nicht der Fall ist, wird in einem Programmschritt 204, 
204' eine Fehlermeldung erzeugt, wodurch die Sicherheitsposition zuruckgesetzt wird und die Antriebe ausgeschaltet 
werden. 
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[0102] Liegen die Lage-lstwerte im Bereich der Sicherheitsposition, erfolgt in einem weiteren Programmschritt 206, 
206' eine Statusubergabe von Mikrocomputer 59 an Mikrocomputer 60 und umgekehrt. Im Programmschritt 208, 208' 
erfolgt ein Vergleich, ob der Status des Mikrocomputers 59 dem Status des Mikrocomputers 60 und umgekehrt ent- 
spricht. 1st dies nicht der Fall, wird im Programmschritt 210, 210' eine Fehlermeldung erzeugt und der Roboter wird in 

5 einen sicheren Zustand uberfuhrt. Entspricht der Status des Mikrocomputers 59 dem Status des Mikrocomputers 60 
und umgekehrt, wird in einem Programmschritt 212, 212' von jedem Mikrocomputer 59, 60 in der Ausgangsebene 92 
jeweils ein Ausgang "SAFE POSJ" und "SAFE POS_2" gesetzt. AnschlieBend erfolgt in einem Programmschritt 214, 
214' ein Rucklesen des Ausgangs "SAFE POS_2" durch den Mikrocomputer 59 bzw. ein Rucklesen des Ausgangs 
"SAFE POS_1" durch den Mikrocomputer 60. In einem Programmschritt 216, 216' wird uberpruft, ob die Ausgange 

io "SAFE POS_1 " und "SAFE POS_2" die gleichen Zustande aufweisen. 1st das der Fall, wird dies uber den Programm- 
schritt 218, 218' dem Eingang 198, 198' zuruckgemeldet. Anderenfalls wird im Programmschritt 220, 220' eine Feh- 
lermeldung erzeugt, die Ausgange werden zuruckgesetzt und die Antriebe ausgeschaltet. 

[0103] Beim Anlaufen der Robotersteuerung wird eine sichere.Synchron-Position benotigt. Ein Ablaufdiagramm zur 
Einstellung der Synchronposition ist in Fig. 1 1 dargestellt. Die redundanten Mikrocomputer 1 02, 1 20 der Antriebssteue- 

15 rung 50 prufen nach dem Einschalten bzw. "POWER ON" gegenseitig ihre beim Ausschalten in den Flash-Speicher 
111 , 123 abgelegten Lage-lstwerte. Da der Resolver 48 nur auf einer Umdrehung absolut arbeitet, muss in einer zu- 
satzlichen Routine die mechanische Position des Roboters 1 2 sicher zu diesen Lage-lstwerten syrichronisiert werden. 
Dies geschieht durch Anfahren der Synchronisationsposition 32. Die Auswertung erfolgt durch den Safety-Controller 
und ist in Fig. 11 anhand des Ablaufdiagramms 222 dargestellt. Zunachst werden in einem ersten Programmschritt 

20 224, 224' den jeweiligen Mikrocomputern 59, 56 die Lage-lstwerte nach dem Einschalten uber die Busse CAN_A und 
CA_B mitgeteilt. 

[0104] Nach dem Start durch Programmschritt 226, 226' in einen nachsten Programmschritt 228, 228' wird festge- 
stellt, dass der Autobetrieb fur den Roboter 1 2 nach "POWER ON" nicht f reigegeben ist. In einem nachsten Programm- 
schritt 230 wird abgefragt, ob eine Anforderung zur EinStellung der Synchronposition uber den Bus CAN_A erfolgt ist. 

25 AnschlieBend erfolgt in einem Programmschritt 232 eine Aufforderung zur Einstellung der Synchronposition von Mi- 
krocomputer 59 an den Mikrocomputer 60, woraufhin in diesem in einem Programmschritt 234 eine Abf rage gestartet 
wird. Ist keine Anforderung zur Einstellung der Synchron-Position erfolgt, wird zu Programmschritt 228, 228' uberge- 
gangen und der Autobetrieb fur den Roboter 12 wird nach "POWER ON" nicht f reigegeben. - 
[0105] 1st eine Anforderung zur Einstellung der Synchronposition eingegangen, wird in einem nachsten Programm- 

30 schritt 236, 236' uberpruft, ob die Synchronposition erreicht ist. Sollte diese Position nicht erreicht werden, wird in 
einem Programmschritt 238, 238' eine Fehlermeldung erzeugt und der Roboter wird in einen sicheren Zustand gefah- 
ren. Ist die Synchronposition erreicht, wird in einem Programmschritt 240, 240' eine Statusubergabe zwischen den 
Mikrocomputern 59, 60 eingeleitet. AnschlieBend erfolgt in Programmschritt 242, 242' eine Uberprufung, ob der Status 
des Mikrocomputers 59 dem des Mikrocomputers 60 entspricht. Sollte der Status nicht ubereinstimmen, wird in einem 

35 Programmschritt 244, 244' eine Fehlermeldung erzeugt und der Roboter wird in einen sicheren Zustand geschaltet. 
Stimmt der Status uberein, wird in einem Programmschritt 246, 246' ein Eingang SYNC POSJ des Mikrocomputers 
59 bzw. ein Eingang SYNC POS_2 des Mikrocomputers 60 uberpruft. Liegt an den Eingangen ein Signal nicht an, wird 
in einem Programmschritt 248, 248' eine Fehlermeldung erzeugt, die anzeigt, dass der Roboter aufgrund eines feh- 
lerhaften Synchronisationsschalters nicht synchron ist. Andererseits wird in einem Programmschritt 250, 250' bei syn- 

40 chronen Robotern der Autobetrieb freigegeben. 

[0106] In dem hier beschriebenen Ausfuhrungsbeispiel wird die Synchronposition durch den Synclironschalter 32 
definiert. Der Synchronschalter 32 kann durch den Roboter 12 beim Erreichen der Synchronposition aktiviert werden 
Oder anderenfalls kann eine Bedienperson die Synchronposition manuell quittieren. Die Synchronposition muss ein- 
deutig sein. Sie darf durch keine andere Winkelkombination der Roboterachsen erreicht werden. Eine Ungenauigkeit 

45 eines Sicherheitspositionsschalters von ca. 5b is 10 mm kann fur Personensicherheit akzeptiert werden. 

[01 07] In jedem Fall mussen die Schutzturen 20, 22 wahrend der Fahrt des Roboters auf die Synchronposition bzw. 
den Synchronschalter geschlossen sein oder anderenfalls muss die Bewegung des Roboters uber einen Zustimmungs- 
schalter erfolgen. Erst wenn durch den Programmschritt 250, 250' sicher eine korrekte Synchronisation angezeigt wird, 
greifen samtliche Uberwachungen. Die Anforderung an den Safety-Controller 38, die Synchronposition zu uberwachen, 

50 erfolgt uber die Robotersteuerung 36 und uber den Bus CAN_A, sobald die Robotersteuerung den Roboter auf die 
Synchronposition positioniert hat. 

[0108] In Fig. 12 sind schematisch Fahrbereiche von Achsen 252 - 262 dargestellt, die in bestimmten Winkelberei- 
chen achsspezifische, programmierbare "elektronische Nocken" 264 - 274 aufweisen. Diese Nocken 264 - 274 gelten 
nur fur die jeweiligen Achsen 252 - 262. Die elektronischen Nocken 264 - 274 der einzelnen Achsen werden durch 
55 den Safety-Controller 38 gemaB einem in Fig. 14 dargestellten Ablaufdiagramm 276 permanent uberwacht. 

[0109] In einem Programmschritt 278 werden die achsspezifischen Nocken in eine Istwert-Tabelle eingegeben. Des 
Weiteren werden in einem Programmschritt 280, 280' den jeweiligen Mikrocomputern 59 60 die Lage-lstwerte der 
einzelnen Antriebseinheiten 24 - 30 bzw. der zugehorigen Achsen 252 - 262 zugefuhrt. Nach dem Programmstart 282, 
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282' erfolgt ein Vergleich zum Beispiel des Lage-lstwertes der Achse 252 mit einer zugehdrigen Werte-Tabelle, In der * 
der Nocken 264 definiert ist. Sollte der Lage-lstwert zum Beispiel der Achse 252 im Bereich des elektronischen Nbckens 
264 liegen, wird im Programmschritt 286, 286' entschieden, dass im Programmschritt 288, 288' eine Statusubergabe 
an den Mikrocomputer 59 bzw. den Mikrocomputer 60 erfolgt. Im Programmschritt 290, 290' wird uberpruft, ob der 

5 Status des Mikrocomputers 59.dem Status des Mikrocomputers 60 und umgekehrt entspricht. Fallt diese Entscheidung 
negativ aus, wird in einem Programmschritt 292, 292' eine Fehlermeldung erzeugt und der Roboter 12 nimmt einen 
sicheren Zustand ein. Anderenfalls wird in einem Programmschritt 294, 294' ein dem Nocken 264 zugeordneter erster 
Ausgang "Nocken 262_1" durch deh Mikrocomputer 59 und ein zweiter Ausgang "Nocken 264_2" durch den Mikro- 
computer 60 gesetzt. In einem weiteren Programmschritt 296, 296' erfolgt ein kreuzweises Rucklesen der Ausgange. 

10 Sofern die Ausgange den gleichen Zustand aufweisen, wird in einem Programmschritt 298, 298' ein Signal erzeugt, 
dass die sichere Nocke erreicht ist; anderenfalls wird in einem Programmschritt 300, 300' eine Fehlermeldung erzeugt, 
die Nocken werden zuruckgesetzt und die Antriebe ausgeschaltet. 

[0110] Die Anzahl der Ausgange des Safety-Controllers 38 ist von der jeweiligen Anwendung abhangig. Die elek- 
tronischen Nocken der jeweiligen Achsen 252 bis 262 sind vom Anwender f rei programmierbar. In Fig. 1 3 ist das Prinzip 

15 einer kartesischen Nocke dargestellt. Eine kartesische Nocke 302 bildet einen raumlichen Bereich vorzugsweise einen 
Quader innerhalb des Gesamtverf ahrbereichs des Roboters 1 2. Dabei werden Lage-lstwerte durch eine kinematische 
Transformation auf einen handhabungsgeratespezif ischen Punkt 304 wie Roboterfiansch bzw. einen TCP (Tool Center 
Point) verrechnet. Eine entsprechende Transformationsroutine ist in den Mikrocomputern 59 bzw. 60 vorhanden. Aus 
den empfangenen Lage-lstwerten werden durch Matrizenoperationen kartesische Koordinaten im kartesischen Raum 

20 berechnet. In den entsprechenden Matrizen wie z. B. Denavit-Hardenberg-Matrix, wird eine kinematische Kette der 
Roboterachsen abgebildet, wie z. B. ein Vertikalknickarm-Roboter oder ein Horizontalschwenkarm-Roboteretc. Diese 
Matrizen sind fur verschiedene Roboter-Kinematiken unterschiedlich. Der Transformationsalgorithmus ist jedoch fur 
alle Kinematiken gleich. 

[0111] Durch die kartesische Nocke 302 ist eine Oberwachung der Roboterachsen 252 - 262 mdglich, wobei dann 
25 Ausgange in der Ausgangsebene 92 des Safety-Controllers 38 aktiviert werden, wenn sich der Roboter 12 auf einer 
definierten Position bzw. innerhalb eines im Raum definierten Bereichs befindet. Falls der Roboter 12 die gewunschte 
Position nicht erreicht hat oder sich nicht im entsprechenden Bereich befindet, wird der spezifizierte Ausgang deakti- 
viert. 

[0112] Die kartesische Nocke 302 kann vom Anwender beliebig programmiert werden. Dabei konnen mehrere kar- 
30 tesische Nocken programmiert werden. Die Anzahl der Nocken ist durch die maximale Erweiterung an sicheren Ein- 
und Ausgangen auf dem Safety-Controller 38 festgelegt. Die Berechnung/Festlegung der kartesischen Nocken erfolgt 
unter Berucksichtigung der Bremswege der jeweiligen Achse. Wie schon erwahnt, konnen die elektronischen Nocken 
sowohl fur jede Achse einzeln, wie in Fig. 12 dargestellt, alsauchfurdie Summealler Achsen, wie in Fig. 13 dargestellt, 
auf kartesischer Basis definiert werden. Die Programmierung der Nocken erfolgt jeweils uber Tabellen. Fur jede Achse 
35 ist eine Tabelle vorgesehen und eine zusatzliche Tabelle fur die kartesische Oberwachung. In jeder Tabelle konnen 
maximal 16 Nocken programmiert werden. In jedem Zyklus wird jede Tabelle durchlaufen, urn zu uberprufen, ob sich 
eine Achse auf einem programmierten Nocken befindet bzw. ob sich die kartesische Position auf einem Nocken be- 
findet. Ist dies der Fall, so wird ein ebenfalls in der Tabelle programmierter Ausgang gesetzt. Das folgende Beispiel 
soil dies verdeutlichen: 

40 



Nocken-Tabelle fur Achse 1 (analog dazu Achsen 2 ... 24): 


Nocken-Nr. 


Nocken- Anf. 


Nocken-Ende 


Ausgang-Nr. 


Pegel 


1 


OGrad 


10Grad 


10 


1 


2 


170Grad 


180Grad 


11 


1 




50 mm 


90 mm 
















16 











Nocken-Tabelle fur kartesische Oberwachung: 


Nocken-Nr. 


Nocken-Anf. 


Nocken-Ende 


Ausgang-Nr. 


Pegel 


1 


X = 10 mm 


X = 2000 mm 








Y= 100 mm 


Y= 1900 mm 
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(fortgesetzt) 



5 



Nocken-Tabelle fur kartesische Uberwachung: j 


Nocken-Nr. 


Nocken-Anf. 


Nocken-Ende 


Ausgang-Nr. 


Pegel 




Z = 1000 mm 


Z= 1500 mm 


10 


1 


2 


X = 1000 mm 


X = 4000 mm 








Y=1500 mm 


Y = 5000 mm 








Z= 1200 mm 


Z= 1500 mm 


11 ! 




























16 













[0113] Die Uberwachung bzw. Einstellung der kartesischen Nocken wird durch ein Ablaufdiagramm 306 gemaB Fig. 
15 beschrieben. Die Werte Oder Wertebereiche der sicheren kartesischen Nocken werden in einem Programmschritt 
308 den Mikrocomputern 59, 60 mitgeteilt. In den Programmschritten 310, 310' werden den Mikrocomputern die si- 

20 cheren Lage-lstwerte uber die Busse zugefuhrt. Nach dem Start gemaB Programmschritt 312, 312' werden in einem 
Programmschritt 31 4, 31 4' zunachst die Roboter Kinematik, die insbesondere maximal 2*9=1 8 Achsen umfassen kann, 
transformiert und der kartesische Istwert des Punktes 304 wird berechnet. Im Programmschritt 316, 316' wird der 
berechnete kartesische Istwert des Punktes 304 jeweils dem anderen Mikrocomputer ubertragen. Andernfalls erfolgt 
im Programmschritt 318, 318' ein Vergleich, ob die kartesischen Istwerte der Mikrocomputer 59, 60 ubereinstimmen. 

25 Unterscheiden sich die kartesischen Istwerte, wird im Programmschritt 320, 320' eine Fehlermeldung erzeugt und der 
Roboter in einen sicheren Zustand geschaltet. AnschlieBend erfolgt im Programmschritt 322, 322' ein Vergleich der 
Lage-lstwerte des TCP mit den in der Tabelle abgespeicherten Istwerten des zugehorigen Nockens. Im Programm- 
schritt 324, 324' wird entschieden, ob die Lage-lstwerte im Bereich der zugeordneten Nocken liegen. 1st dies der Fall, 
wird im Programmschritt 326, 326' von jedem Mikrocomputer 59, 60 ein der jeweiligen Nocke zugeordneter Ausgang 

30 gesetzt. Anderenfalls wird zu Programmschritt 314, 314' ubergegangen. Im Programmschritt 328, 328' werden die 
jeweiligen Ausgange kreuzweise zuruckgelesen. Sind beide Ausgange gesetzt, wird nach Programmschritt 330, 330' 
entschieden, dass der sichere Nocken erreicht ist. Sind die Zustande der Ausgange nicht gleich, wird im Programm- 
schritt 332, 332' eine Fehlermeldung erzeugt, die Nocken werden zuruckgesetzt und die Antriebe werden ausgeschal- 
tet. 

35 [0114] In einem sogenannten "Einrichtbetrieb" soil der Roboter bzw. ein Roboterflansch mit einer-sicher reduzierten 
Geschwindigkeit verfahren werden. Grundlage der sicher reduzierten Geschwindigkeit sind die sicheren Lage-lstwerte 
der Achsen 252 bis 262; Die Lage-lstwerte werden in zeitlich gleichen Abstanden erfasst und durch eine kinematische 
Transformation in kartesische Raumkoordinaten umgewandelt und auf den Punkt 304 verrechnet. Aus jeweils zwei 
transformierten Positionswerten wird durch Differenzieren eine kartesische Geschwindigkeit des Punktes 304 errech- 

40 net und mit einer maximal erlaubten Geschwindigkeit verglichen. Bei Oberschreiten der erlaubten Maximalgeschwin-. 
digkeit wird sofort eine uberwachte Funktion wie z. B. "STOP 1" eingeleitet, wobei die Antriebseinheiten 24 bis 30 auf 
schnellstmogliche Weise stillgesetzt werden, aber die Energiezufuhr zu den Antriebseinheiten beibehalten wird. Nach 
einschlagiger Norm darf sich der TCP im Einrichtbetrieb mit maximal 250 mm/s bewegen. 

[01 1 5] Die Uberwachungs-Software muss zyklisch abgearbeitet werden, wobei eine Zyklusrate (Fehlertoleranzzeit) 
45 nicht uberschritten werden darf. In einem Abschaltzweig liegen ein Transistortreiber und die Hauptschutze K1 , K2, die 
ebenfalls Abschaltzeiten aufweisen. Die Zykluszeit muss in Abhangigkeit dererreichbaren maximalen Geschwindigkeit 
in den Betriebsarten EINRICHTEN und AUTOTEST, ungunstiger Achsstellungen, z. B. bei groBer Reichweite, der 
Roboterkinematik und vorgegebener Fehlertoleranzzeit festgelegt werden. Die effektive Stillsetzzeit liegt in der Gro- 
Benordnung der ublichen kontaktbehafteten Schaltgerate. 
so [0116] Die Einstellungen der Kinematik, d. h. Definition der kinematischen Kette, Achslangen, Getriebedaten etc. 
sowie die Einstellungen der maximalen Verfahrgeschwindigkeit (maximal 250 mm/s) erfolgt einmalig in einer Initiali- 
sierungsphase beim Hochlaufen der Robotersteuerung 36. Dabei ist sicherzustellen, dass die initialisierten Daten von 
den Mikrocomputern 59, 60 des Safety-Controllers 38 aufgenommen, sicher abgespeichert und vor schreibendem 
Zugriff geschutzt werden. Die Parameter werden vor Ort mit Hilfe der Robotersteuerung 36 vermessen und berechnet 
55 und mussen anschlieBend von einer Bedienperson verifiziert und bestatigt werden. 

[01 17] Wie zuvor erwahnt, wird die Funktion "STOP 1 " fur ein geregeltes schnelles Reduzieren der Geschwindigkeit 
des Punktes 304 wie folgt uberwacht: Es findet erfindungsgemaB eine Bremsrampen-Uberwachung statt. Bei der kar- 
tesischen Bremsrampenuberwachung soil festgestellt werden, ob der Roboter 12 nach Auslosen z. B. einer "STOP- 
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1" bzw. "STOP 2"-Funktion seine. Geschwindigkeit verringert Hierzu werden in zeitlichen Abstanden die Drehzahl- 
bzw. Lage-lstwerte der Achsen eingelesen und kartesisch transformiert. Dadurch werden die kartesischen Raumko- 
ordinaten zum Beispiel des Tool-Center-Points (TCP) bzw. einer Werkzeugspitze fur das aktuell eingestellte Werkzeug 
berechnet. Durch Subtraktion eines kartesischen Datensatzes in einem ersten Abtastzeitpunkt von einem Datensatz 
5 in einem zweiten Abtastzeitpunkt ergibt sich ein Differenzvektor. Uber eine sich ergebende Zeitdiffe-renz zwischen 
zwei Abtastpunkten kann eine kartesische Geschwindigkeit im Raum fur die Werkzeugspitze bestimmt werden. Diese 
errechnete Geschwindigkeit muss nach Erkenneri einer "Stop - 1" bzw. "Stop - 2" - Funktion, die z. B. durch eine Stop- 
Taste oder einen Not-Aus-Schalter ausgelost wird, geringer werden. 1st dies nicht der Fall, muss eine Funktion "STOP 
- 0" ausgefuhrt werden. 

10 [0118] Die Bremsrampen-Uberwachung soil mit Hilfe des in Fig. 16 dargestellten Diagramms 334 beschrieben wer- 
den. Uber die Abszisse 336 ist die Zeit t aufgetragen und uber die Ordinate 338 ist die Drehzahl n aufgetragen. Zum 
Zeitpunkt TO wird eine Stop-Funktioh ausgelost und eine zu diesem Zeitpunkt gemessene Drehzahl Nx wird abgespei- 
chert. Diese Drehzahl ist in dem Diagramm 334 als Parallele 340 zu der Abszisse 336 dargestellt. T max ist ein Zeitpunkt 
nach n-Zyklen, nachdem die Hauptschutze K1, K2 zum Abfallen gebracht werden. Die Linie 342 stellt die aktuelle 

15 Drehzahl bzw. Geschwindigkeit dar, die zum Zeitpunkt TO der Drehzahl n = Nx und zum Zeitpunkt Tmax der Geschwin- 
digkeit n = 0 entspricht. 

[0119] Zum Zeitpunkt T1 wird die aktuelle Drehzahl mit der Anfangsdrehzah! Nx verglichen. Ist die aus den Dreh- 
zahlen berechnete kartesische Geschwindigkeit zum Zeitpunkt T1 gleich oder groBer als die aus Nx berechnete An- 
fangsgeschwindigkeit, wird sofort die Funktion "STOP 0" ausgelost. Ist jedoch die Geschwindigkeit zum Zeitpunkt T1 
20 klei'ner als die Anfangsgeschwindigkeit, wird die Funktion "STOP 1" bis zum Zeitpunkt Tmax ausgefuhrt. Nach dem 
Zeitpunkt Tmax wird automatisch die Funktion "STOP 0" ausgefuhrt. 

[0120] Zum Schutz gegen unerwarteten Anlauf sind die in Fig. 17 dargestellten MaBnahmen vorgesehen. Zunachst 
wird der Schlusselwahlschalter 178 in die Steliung "EINRICHTEN" gestellt und alle Verfahrtasten werden auf "nicht- 
aktiv" uberpruft. Zu diesem Zeitpunkt wird auf sicheren Betriebshalt uberwacht. Durch einmaliges Betatigen des Zu- 
25 stimmungstasters 182 wird die Uberwachung der sicher reduzierten Geschwindigkeit durch den Safety-Controller 38 
eingeleitet. Ab diesem Zeitpunkt ist ein Verfahren des Roboters 12 mit den standardmaBigen Verfahrtasten moglich. 
Steht der Roboter 12 jedoch langer als eine Zeitspanne Tx in Ruhestellung, d. h. dass keine Verfahrtaste betatigt 
wurde, wird wieder auf sicheren Betriebshalt uberwacht. Zum erneuten Verfahren muss der Zustimmungsschalttaster 
1 82 erneut betatigt werden. 

30 [0121] Ein in Fig. 1 8 dargestelltes Ablauf diagramm 344zeigt die Uberwachung der sicher reduzierten Geschwindig- 
keit. In einem. ersten Programmschritt 346, 346' werden den Mikrocomputern 59, 60 des Safety-Controllers 38 die 
sicheren Lage-lstwerte ubermittelt. Nach dem Start der Mikrocomputer im Programmschritt 348, 348' werden im Pro- 
grammschritt 350, 350' die Lage-lstwerte kinematisch transformiert und die Ist-Geschwindigkeit des Punktes bzw. des 
Roboterflansches 304 wird errechnet. AnschlieBend wird in einem Programmschritt 352, 352' jeweils die berechnete 

35 Ist-Geschwindigkeit von Mikrocomputer 59 an Mikrocomputer 60 ubermittelt und umgekehrt. In Programmschritt 354, 
354' wird abgefragt, ob die in den Mikrocomputern 59, 60 jeweils berechneten Ist-Geschwindigkeiten identisch sind. 
Sind die Geschwindigkeiten nicht identisch, wird in einem Programmschritt 356, 356' eine Fehlermeldung erzeugt und 
die Antriebe werden ausgeschaltet. Anderenfalls ist mit dem Programmschritt 358, 358* die Uberprufung der sicher 
reduzierten Geschwindigkeit abgeschlossen. 

40 [01 22] In manchen Anwendungsfallen, wenn der Roboter 1 2 z. B. Lackieraufgaben ausfuhren soil, ist es notwendig, 
den Roboter im Einrichtbetrieb mit seiner betriebsmaBigen Geschwindigkeit zu fahren. Zunachst muss eine Bedien- 
person uber den im Programmierhandgerat 46 integrierten Schlusselschalter 180 die Betriebsart "AUTO-TEST" aus- 
wahlen. In einem nachsten Schritt ist es notwendig, den dreistufigen Zustimmungstaster 182 in seine Mittelstellung zu 
bewegen. Der Roboter beginnt nun seine Bewegung, d. h„ dass ein Freigabe-Signal 362 gesetzt wird, sobald der 

45 Start-Verfahrtaster 360 betatigt wird. Wird der Start-Verfahrtaster 360 losgelassen, wird das Freigabesignal 362 zu- 
ruckgesetzt und der Roboter wird uber eine Funktion "STOP 2" stillgesetzt. Die Funktion "STOP 2 U bedeutet ein ge- 
steuertes Stillsetzen, bei dem die Energiezufuhr zu den Antriebseinheiten erhalten bleibt. 

[0123] In einem sogen. "TIPPBETRIEB" lost der Safety-Controller 38 eine Funktion "STOP 1" aus, sobald der Zu- 
stimmungstaster 182 bei betatigtem Start-Verfahrtaster 360 seine Mittelstellung verlasst. Wird zunachst der Start- 
so Verfahrtaster 360 losgelassen und anschlieBend der Zustimmungstaster 1 82, so wird der Roboter 1 2 automatisch auf 
Stillstand, d. h. Funktion "STOP 2" uberwacht. 

[0124] In einem sogen. "PULSBETRIEB", der in Fig. 20 dargestellt ist, ist bei eingeschaltetem Schlusselwahlschalter 
180, betatigtem Zustimmungstaster 182 in Mittelstellung und betatigtem Start-Verfahrtaster 360 ein einmaliges Beta- 
tigen des Verfahr-Tasters 360 notwendig, urn das Freigabesignal 362 zu schalten. 
55 [0125] Des Weiteren kann uber den Schlusselschalter 176 eine Betriebsart "AUTOBETRIEB" ausgewahlt werden. 
Diese Betriebsart kann nur bei geschlossenen Schutzturen 20, 22 ausgefuhrt werden. Bei dieser Betriebsart werden 
keine besonderen Anforderungen an den Safety-Controller 38 gestellt. 

[01 26] In Fig. 21 ist eine erfindungsgemaBe Bremsensteuerung in einem Prinzipschaltbild 364 dargestellt. Die Brem- 
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sensteuerung wird uber den Safety-Controller 38 ausgefuhrt, an dem ein Service-Modul 366 uber sichere Eingange 
368, 370 angeschlossen ist. Uber sichere Ausgange 372, 374 werden in Reihe liegende Schutzkontakte 376, 378 
betatigt, die uber einen externen Steuerungstransformator 380 eine 24 V-Bremsenversorgungsspannung an die An- 
triebseinheiten 24 bis 30 leiten. Die Antriebseinheiten 24 bis 30 weisen jeweils ein elektronisches Schaltelement 382, 

5 384 auf, das uber ein Und-Glied 386, 388 mit den redundanten Kreisen bzw. Kanalen 52, 54 der Antriebssteuerung 
50 verbunden ist. Ein Ausgang 390, 392 der Antriebseinheiten 24 bis 30 ist mit einer Bremseinrichtung 394, 396 der 
jeweiligen Antriebseinheiten verbunden. Achsen- bzw. Antriebseinheiten ohne Schwerkraftbelastung sind uber einen 
Notschalter 398 ebenfalls mit einer nicht mit dem Hauptschalter der Steuereinheit geschalteten externen 24 V Brem- 
senversorgungsspannung 400 verbunden. Uber den Notschalter 398 konnen die angeschlossenen Bremseinrichtun- 

10 gen geluftet werden, auch wenn die Energieversorgung fur die Steuereinheit uber den Hauptschalter ausgeschaltet 
ist. Der Leistungsschalter 376, 378 der Bremsenversorgungsspannung ist extern aufgebaut. Dadurch wird die Flexi- 
bility gegenuber der Anzahl und Leitungsaufnahmen der angeschlossenen Motoren bzw. Bremsen erhoht. Bei nor- 
maler Betriebsart schalten die Ausgange 372, 374 parallel zu den Ausgangen zur Ansteuerung der Leitungsschutze 
K1 , K2. Sollte keine andere Betriebsart benotigt werden, konnen die Schaltelemente 376, 378 Kontakte der Leistungs- 

15 schutze K1, K2sein. 

[0127] Zur Untersuchung der Laufeigenschaften des Roboters, insbesohdere von Getrieben oder anderen mecha- 
nischen Elementen durch einen Service-Techniker wird derRoboter in eine Betriebsart "SERVICE MODE" geschaltet. 
Dazu muss zum Beispiel die Bremseinrichtung 394 einer zu untersuchenden Achse manuell geluftet werden. Im Ser- 
vice-Mode steht der Roboter 1 2 unter Beobachtung des Service-Technikers. Der Service-Mode kann auf verschiedenen 

20 Ebenen (Gefahrdungsklassen) aktiviert werden. Einerseits kann der Service-Mode durch Menu-Anwahl im Program- 
mierhandgerat 46 eingestellt werden und andererseits kann eine Freigabe von Energie, zum Beispiel die Leistung fur 
Bremsen, durch Betatigen des an den sicheren Eingangen 368, 370 angeschlossenen Service-Moduls 366 erfolgen. 
[0128] Fur die Betriebsart "SERVICE MODE", d. h. die Bremsen manuell zu luften, ist folgende Bedienung vorge- 
sehen: Zunachst wird im Programmierhandgerat 46 ein Bedien-Menu angewahlt. Es werden einzelne Tasten definiert 

25 bzw. freigegeben, mit welchen die einzelnen Haltebremsen 394, 396 geluftet werden konnen. AnschlieBend wird z. B. 
uber einen Schlusselschalter das Service-Modul 366 an den sicheren Eingangen 368, 370 des Safety-Controllers zur 
Einstellung des Service-Mode gesetzt. In dieser Konstellation schajtet der Safety-Controller 38 die Bremsleistung uber 
die Schaltkontakte 376, 378 frei. Dabei sind die Bremsen 394, 396 jedoch noch nicht geluftet. In einem nachsten Schritt 
kann die Antriebssteuerung 50 innerhalb der Antriebseinheiten 24 bis 30 durch Schalten des internen Bremsschalters 

30 382, 394 die Bremseinrichtungen 394, 396 der zugehorigen Achse luften. Der Roboter selbst ist in dieser Betriebsart 
ohne Leistung. Er kann nur manuell oder durch Schwerkraft bewegt werden. Eine Ruckkehr in den normalen Betrieb 
ist nur durch Rucksetzen des "SERVICE MODE" moglich. 

[0129] Zur Behebung von Produktionsstorungen ist eine Betriebsart "Gruppensteuerung" vorgesehen. Steckt der 
SchweiBroboter 12 zum Beispiel nach einer Stromquellenstorung mit festgebranntem SchweiBdraht in einer schwer 

35 zuganglichen Stelle des Werkstucks test, haben sich die Antriebseinheiten 24 bis 30 durch den Fehler abgeschaltet. 
Ein Verfahren der Roboterachsen im Einrichtbetrieb ware bei einem ungeubten Bediener gleichbedeutend mit einer 
erhohten Kollisionsgefahr. Es ist jedoch schneller und einfacher z. B. an Achsen ohne oder nahezu ohne Schwerkraft- 
belastung wie Kopfachsen mit einem Befehl uber das Programmierhandgerat die Bremseinrichtungen 394, 396 zu 
luften und die Achsen manuell in eine ubersichtliche Position zu bewegen. Achsen mit einer Schwerkraftbelastung von 

40 etwa 6 kg konnen in dieser Betriebsart geluftet werden. 

[0130] Fur diese Sonderbetriebsart ist folgende Bedienung vorgesehen: In einem ersten Schritt wird die Gruppe in 
einen sicherheitsrelevanten Bereich der Maschinendaten abgelegt. In einem zweiten Schritt wird ein Bedien-Menu im 
Programmierhandgerat angewahlt, wobei eine Taste definiert bzw. freigegeben wird, mit der die Gruppe von Halte- 
bremsen im "TIPPBETRIEB" geluftet werden konnen. In einem dritten Schritt schaltet der Safety-Controller 38 die 

45 Bremsleitung uber die Schaltkontakte 376, 378 frei, so dass in einem vierten Schritt Haltebremsen einer Achse durch 
Schalten des internen Bremsschalters 382, 384 geluftet werden konnen. 

[0131] Auch in dieser Betriebsart ist der Roboter ohne Leistung. Die Achsen mit gelufteten Bremsen konnen nur 
manuell bewegt werden. Die gefahrdeten bzw. der Schwerkraft ausgesetzten Achsen sind nicht in die Gruppendef inition 
aufgenommen. Die nicht freigegebenen Achsen werden wahrend dieser Betriebsart auf Stillstand uberwacht. Ein un- 

50 beabsichtigtes Schalten zum Beispiel durch einen Defekt des einkanaligen Bremsschalters 382, 384 einer Antriebs- 
einheit 24 - 30, der auch als Servo- Verstarker bezeichnet werden kann, wurde auch die Bremse einer schwerkraftbe- 
lasteten Achse luften und die Achse konnte sich bewegen. In diesem Fall schaltet der Safety-Controller 38 die Brem- 
senleistung ab. Eine Ruckkehr in den Normalbetrieb geschieht durch Anwahl der gewunschten Betriebsart "VERFAH- 
REN" durch das Programmierhandgerat. Fur eine gesteuerte Roboterbewegung mussen die Antriebe eingeschaltet 

55 werden. 

[0132] Auch besteht die Moglichkeit, uber die externe Spannungsversorgung 400 und den Notschalter 398 eine 
Gruppe von Bremseinrichtungen extern zu luften. Das externe Luften von Bremseinrichtungen ist nur fur Notfalle vor- 
gesehen. In diesem Fall kann die Robotersteuerung 36 bzw. der Safety-Controller 38 ausgeschaltet sein, wobei jedoch 
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eine externe Hilfsenergie zur Verfugung steht. Durch Betatigen eines leicht zuganglichen Tasters 398 (im Tippbetrieb) 
werden an alien nicht schwerkraftbelasteten Achsen die Bremseinrichtungen 394 geluftet. In diesem Zustand kann die 
Robotermechanik manuell bewegt werden, zum Beispiel zum Befreien einer eingeklemmten Person. Die Auswahl der 
zulassigen Achsen geschieht durch die interne Schaltschrankverdrahtung, wobei nur die Bremsen an die externe Hilf- 

5 senergie 400 angeschlossen werden. 

[0133] Auch besteht erfindungsgemaB die Moglichkeit, die Bremswirkung der Bremseinrichtungen 394, 396 zu uber- 
prufen. Diese Bremsenprufung wird bei jedem Einschalten der Antriebe durchgefuhrt. Zunachst wird ein Hauptschalter 
eingeschaltet und die Robotersteuerung 36 sowie der Safety-Controller 38 werden hochgefahren. AnschlieBend wer- 
den die Antriebe eingeschaltet und die Bremseinrichtungen 394, 396 geluftet. SchlieBlich wird ein Haltestrom l H der 

10 Achsen gemessen, wobei die Roboterachsen unterschiedlich belastet und beliebig im Raum stehen konnen. Des.Wei- 
teren werden die Bremseinrichtungen 394, 396 durch Schaltung der internen Bremsschalter 382, 384 betatigt und ein 
achsspezifischer Stromwert l Test = l H ± Ioffset wlrd an die Endstufe abgegeben, mit I 0 ffset = x * 'nenn und x im 
Bereich von 0,6 < x < 1,0 vorzugsweise 0,8 und l NENN als dem Stromwert, der dem Nennmoment M NENN der Brems- 
einrichtung entspricht. Als Weiteres werden alle Achsen auf Stillstand uberpruft. Bei Bedarf kann der Safety-Controller 

15 38 auf sicheren Betriebshalt prufen. Dann wird der Offset-Zuschlag vom Stromsollwert zuruckgenommen, die Halte- 
bremsen geluftet und in den Normalbetrieb ubergegangen. 

[0134] Die Nennmomente M NENN der Bremseinrichtungen variieren mit der BaugroBe des Motors, so dass diese 
Information fur die Berechnung des Strom-Offsetwertes insbesondere des Wertes l NENN in den Maschinendaten ab- 
gelegt sein sollen. 

20 [0135] Die Elektronik der Antriebssteuerung 50, die auch als Servo- Verstarker bezeichnet werden kann, wird in Ab- 
hangigkeit des Betriebszustandes von verschiedenen Spannungsquellen versorgt. Zunachst weistjede Antriebssteue- 
rung 50 ein Schaltnetzteil auf, mit dem im Betriebszustand Hauptschalter "EIN" und eingeschalteten Antrieben die 
komplette Elektronik der Motorsteuerung 50 mit Leitungsteilen und aktiver PWM versorgt wird. Ein direkt am Netz 
liegendes externes Schaltnetzteil versorgt die komplette Elektronik der Motorsteuerung ohne Leistungsteil im Betriebs- 

25 zustand "EIN", aber bei ausgeschalteten Antrieben. Ferner wird durch das externe Schaltnetzteil nur die Resolver- 
Auswerte-Elektronik versorgt, wenn der Hauptschalter ausgeschaltet ist. Bei Netzausfall wird ebenfalls nur die Resol- 
ver-Auswertelogik uber einen Akku und ein externes Schaltnetzteil versorgt. 

[0136] Ein Netzausfall kann in verschiedenen Betriebszustanden auftreten. Dabei geht das System kontinuierlich in 
den Betriebszustand mit geringster Energie uber. In einem Ablaufdiagramm gemaB Fig. 22 ist eine Not-Stop-Routine 

30 dargestellt. In einem ersten Programmschritt 404 wird ausgewertet, ob ein Netzausfall durch das Signal ACFAIL oder 
ein Ausschalten der Robotersteuerung 36 bzw. des Safety-Controllers erkannt wurde. Wurde der Netzausfall oder ein 
Ausschalten der Robotersteuerung erkannt, startet gemaB Programmschritt 406, 406' eine Not-Stop-Routine sowohl 
im Kreis 52 als auch im Kreis 54 mit den Mikrocomputern 102, 120. Im Kreis 52 konnen nicht mehr benotigte Module 
wie CAN-lnterface 56, LED-Anzeigen und andere Module abgeschaltet werden, da die Robotersteuerung 36 und der 

35 Safety-Controller 38 in Kurze nicht mehr versorgt werden. Ein Netzausfall wird mit dem Signal ACFAIL des externen 
Schaltnetzteils der Motorsteuerung erkannt und ein- Ausschalten der Steuerung durch Ausbleiben der Sollwerte auf 
den Bus CAN_A. In einem weiteren Programmschritt 410, 410' wird uberpruft, ob sich die Achse im Stillstand befindet. 
Befindet sich die Achse nicht im Stillstand, wird in einem Programmschritt 412, 412' die Achse zuerst auf Stillstand 
geregelt. Dazu wird die generatorische Energie der Motoren wahrend des Verzogems verbraucht. Es werden die Stan- 
dardkanale der Lageregelung verwendet. Die programmierte Bahn wird verlassen, da die Robotersteuerung nicht mehr 
arbeitet. Das Stillsitzen der Achse kann in Abhangigkeit der Roboterkinematik 1 bis 1,5 s andauern. 
[0137] Die weiteren Programmschritte nach Erreichen des Stillstandes werden in den Kreisen 50, 52 redundant 
durchgefuhrt. In einem nachsten Programmschritt 414, 114' wird in beiden Kreisen die Haltebremse aktiviert und in 
Programmschritt 416, 416' nach einer Wartezeit uberpruft, ob die Bremsen eingefallen sind. Dies geschieht durch 

45 einen Vergleich im Programmschritt 41 8, 41 8' mehrerer Lage-lstwerte, die sich nicht mehr andern durfen. AnschlieBend 
wird der Lage-lstwert in einem Programmschritt 420, 420', bestehend aus mitgezahlten Umdrehungen und dem Re- 
solverwert in ein jeweiliges Systemflash 111 , 123 abgelegt. Nach erfolgreichem Schreiben des Lage-lstwertes in das 
Flag 111, 123 werden die Achsen als synchron markiert. Das heiBt, ein Synchron-Flash wird gesetzt. Mit Programm- 
schritt 422, 422' endet die Not-Stop-Routine. Im Normalfall ist bis zu diesem Zeitpunkt das Schaltnetzteil des Leistungs- 

50 teils aktiv, da Kondensatoren des Zwischenkreises bis zum Stillstand geladen werden. Nach Entladen des Zwischen- 
kreises ubernimmt das externe Schaltnetzteil mit Akku-Pufferung die Energieversorgung, indem Programmschritt 424, 
424' ausgelost wird. 

[0138] Das Verhalten der Antriebssteuerung 50 im Akku-Betrieb ist einem Ablaufdiagramm 426 gemaB Fig. 23 zu 
entnehmen. Bei Netzausfall erfolgt die Spannungsversorgung uber einen Akku, wobei nur die Resolver-Auswerteelek- 
55 tronik versorgt wird. Dazu werden zur Veriangerung der Pufferzeit nicht mehr benotigte Verbraucher wie SRAM 106 
des Mikrocomputers 102, Mikrocomputer 128 und der Teiler 118, DP RAM 130, DP RAM 126 abgeschaltet. 
[0139] Die verbleibende aktive Hardware ist in Fig. 24 dargestellt. Im Programmschritt 428, 428' wird in den Kreisen 
52, 54 der Motorsteuerung die "Power down-Routine" gestartet. Bei Programmschritt 430, 430' werden alle nicht be- 
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notigten Verbraucher wie zuvorerwahnt abgeschaltet. Die redundanten Mikrocomputer 102 und 120 arbeiten nur noch 
im System Flash 111, 123 und im internen SRAM 106, 122. Die Referenzspannung wird zur Verbrauchsminimierung 
nur im Messintervall aktiviert. 

[0140] Im Programmschritt 432 wird in Kreis 52, d. h. im Mikrocomputer 1 02 ein Zeitablauf zur , zyklischen Resolver- 

5 . Auswertung vorgegeben. In Programmschritt 434 wird die Timer-Zeit abgefragt. Alle 200 ms wird in Programmschritt 
436 ein Signal "Start-Resolver" erzeugt, uber das ein Resolverauswertezyklus in Kreis 54 angefordert wird. Durch 
Programmschritt 438 im Kreis 54 wird die zyklische Anforderung von Kreis 52 uberwacht. Detektiert der Programm- 
schritt 438 innerhalb von 200 ms kein Signal "Start-Resolver", wird ein Ausfall von Kreis 52 erkannt und eine Fehler- 
meldung in Programmschritt 440 erzeugt. Die Achse wird von Kreis 54 asynchron markiert, d. h., das Synchronflag 

10 wird zuruckgesetzt und auf die Kommunikation mit dem Safety-Controller 38 gewartet. 

[01 41 ] Bei korrekter zyklischer Anforderung startet Kreis 54 seinen Referenzf requenz-Generator im Programmschritt 
442 und setzt sein Signal SOC (start of conversion) fur die Analog-Digitalwandler in den Kreisen 52, 54. In Programm- 
schritt 444 wartet Kreis 52 auf das Signal SOC. Nach erfolgreicher Konvertierung muss das Signal SOC in Programm- 
schritt 446 im Kreis 52 erkannt werden, der die Funktion des Kreises 54 mit identischer Fehlerreaktion uberwacht. In 

15 Programmschritt 448 startet in Kreis 54 eine Analog-Digitalkonvertierung der Sin-/Cos-Signale. AnschlieBend erfolgt 
eine Berechnung der Lage-lstwerte in Programmschritt 450, 450'. Der Lage-lstwert wird in Programmschritt 452, 452' 
mit dem Lage-lstwert des letzten Zyklus verglichen. Beide Lage-lstwerte mussen gleich sein, d. h. die Achse darf sich 
nicht bewegen. Sind die Lage-lstwerte nicht identisch, wird in Programmschritt 454 eine Fehlermeldung erzeugt. Wenn 
in einem Kreis 52, 54 ein Fehler erkannt wird, wird die zyklische Bearbeitung eingestellt. Dadurch wird der redundante 

20 Partner ebenfalls in den Fehlerzustand gezwungen. Wird kein Fehler erkannt, legen beide Mikrocomputer 1 02, 1 20 in 
einem programmschritt 456, 456' den ermittelten Lage-lstwert im jeweiligen prozessorinternen SRAM 106, 122 ab. 
Sollte bis zu diesem Zeitpunkt kein Fehler aufgetreten sein, wird die Achse als synchron markiert, indem im Programm- 
schritt 458, 458' ein Sync-flag gesetzt wird. AnschlieBend wird in Programmschritt 460, 460' gepruft, ob das System 
noch im Powerdown-Modus verbleiben muss. Wenn ja, wird mit Programmschritt 434 bzw. 438 fortgefahren. Wenn 

25 nein, wird in den Standard-Mode gemaB Programmschritt 462, 462' ubergegangen. 

[0142] Sobald die Netzspannung wiederkehrt, wird im Falle einer aktiven Akku-Pufferung kein Hardware-Reset 
durchlaufen. Die in beiden Kreisen 52, 54 im prozessorintem SRAM 106, 122 abgelegten Lage-lstwerte und Status- 
Informationen werden nach Aussprung in Standard-Mode gemaB Programmschritt 462, 462' von beiden Kreisen an 
den Safety-Controller 38 ubertragen. 1st auf beiden Seiten kein Fehler aufgetreten und sind beide Lage-lstwerte iden- 

30 tisch, wird die Achse mit AbsoJutwert von dem Safety-Controller synchron gesetzt und in den Automatik-Betrieb frei- 
gegeben. 1st keine Akku-Pufferung aktiv oder bricht die Puffer-Spannung zusammen, z. B. wenn der Akku entladen 
ist, wird nach dem Wiederanlauf auf die im Flash abgelegten Lage-lstwerte zuruckgegriffen und gegenseitig verglichen. 
Die Achse wird erst nach erfolgreichem Anfahren der Synchronposition von dem Safety-Controller mit Absolutwerten 
synchron gesetzt. 

35 [0143] In Fig. 24 ist ein Prinzipschaltbild 464 dargestellt, das die im Power-down-Mode aktive Hardware zeigt. Im 
Power-down-Mode ist nur die Resolver-Auswerteelektronik aktiv. Diese besteht aus dem Resolver, den Analog-Digi- 
talwandlern 114, 136, dem Referenzwertgeber 138 und dem Mikrocomputer 102, 122 mit zugeordnetem Flash 111, 
1 23. Bei ausgeschaltetem Hauptschalter liegt ein externes Schaltnetzteil 466 direkt an Netzspannung, ohne dass es 
uber den Hauptschalter der Robotersteuerung schaltbar ist. Das Schaltnetzteil 466 ist mit einem Akku 468 verbunden, 

^o der bei Netzausfall die Resolver-Auswerteelektronik mit Spannung versorgt. Das Schaltnetzteil 466 wird uber eine 
integrierte ACFAIL-Uberwachung 470 uberwacht. Bei Spannungsausfall wird ein Signal IR-ACFAIL erzeugt, das dem 
Mikrocomputer 102 und dem Steuerwerk 138 zugefuhrt wird. Der weitere Ablauf ist dem Ablaufdiaramm gemaB Fig. 
22 zu entnehmen. 

[0144] Bei Spannungsabfall wird in jedem Kreis 52, 54 durch ein separates Supervisor-IC (nicht dargestellt) ein 
45 Hardware-Reset ausgelost. Danach werden beide Kreise 52, 54 neu gebootet und initialisiert, wodurch die gespei- 
cherten Statusinformationen im internen SRAM 106, 122 geloscht werden. Die in dem jeweiligen Systemflash111 , 123 
abgelegten Lage-lstwerte und das Synchron-Flag werden uber den jeweiligen CAN_B-Bus an den Safety-Controller 
38 ubertragen. In dem Safety-Controller 38 wird entschieden, ob die Lage-lstwerte von beiden Kreisen 52, 54 gleich 
sind und ob das Synchron-Flag in beiden Kreisen gesetzt ist. Daraufhin werden die Achsen von der Robotersteuerung 
50 36 auf die Synchronposition gefahren, anschlieBend setzt der Safety-Controller 38 eine Freigabe fur den Automatik- 
betrieb, wenn der Sync Pos-Eingang bei korrekten Achs-lstwerten bekannt wurde. 

[0145] Sind die Lage-lstwerte der beiden Kreise 52, 54 unterschiedlich oder ist das Synchron-Flag nicht gesetzt, 
sind die Achsen asynchron und mussen von einer Bedienperson synchronisiert werden. Dazu werden die Achsen 
ebenfalls von der Robotersteuerung auf die Synchronposition gefahren, anschlieBend setzt der Safety-Controller 38 
55 die Freigabe fur den Automatikbetrieb, wenn der Sync Pos-Eingang bei korrekten Achs-lstwerten bekannt wurde. 
[0146] Bei Akku-Pufferung wird bei Wiederkehr des Netzes kein Hardware-Reset durchgefuhrt. Die abgelegten Sta- 
tus-lnformationen (synchron/ asynchron) und der Lage-lstwert in den jeweiligen internen SRAM's 106, 122 werden 
von beiden Kreisen an den Safety-Controller 38 ubertragen. Im Safety-Controller wird verglichen, ob die Lage-lstwerte 
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von beiden Kreisen 52, 54 gleich und ein Synchron-Flag in beiden Kreisen gesetzt wurde. 1st dies der Fall, setzt der 
Safety-Controller 38 eine Freigabe fur Automatikbetrieb, wobei die Synchronposition nicht angefahren werden muss. 
Sind die Lage-lstwerte von beiden Kreisen unterschiedlich oder wurde der Synchron-Flag nicht gesetzt, sind die Achsen 
asynchron und mussen von einer Bedienperson synchronisiert werden. Dazu werden die Achsen von der Roboter- 
5 steuerung 36 auf die Synchron-Position gefahren. AnschlieBend setzt der Safety-Controller 38 seine Freigabe fur den 
Automatik-Betrieb, wehn der Sync Pos - Eingang bei korrekten Achs-lstwerten erkannt wurde. 



Patentanspruche 

10 

1 . Verfahren zur Steuerung und Uberwachung einer Bremseinrichtung (394, 396) mit einem Nennmoment (M NENN ), 
die einer Antriebseinheit (24, 26) einer technischen Anlage (10) wie Handhabungsgerat zugeordnet ist, 
dadurch gekennzeichnet, 

dass ein einem Haltemoment entsprechender Haltestrom (l H ) der Antriebseinheit (24, 26) bei geoffneter Brems- 
15 einrichtung (394, 396) gemessen und gespeichert wird, dass die Antriebseinheit (24, 26) bei geschlossener Brems- 

einrichtung (394, 396) mit einem achsspezifischen Stromwert (I TES t) beaufschlagt wird, der die Bremseinrichtung 
mit einem Moment belastet, das gleich oder kleiner als das Nennmoment (M NENN ) der Bremseinrichtung (394, 
396) ist, und dass der Antrieb (24, 26) gleichzeitig auf Stillstand uberwacht wird. 

20 2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass sich der Stromwert (Ijest) aus dem gernessenen Haltestrom (l H ) und einem Offset-Strom (Ioffset) ergibt 
gemaB 

25 

'test = 'h ± Offset 

wobei Iqffset = x#, n 

mit 0,6 < x < 1 ,0, vorzugsweise x = 0,8, und 
30 | N ein Strom ist, der dem Nennmoment (M NENN ) entspricht. 

3. Verfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, 

dass der Stromsollwert (I TE st) * n der Antriebseinheit (24, 26) ein Moment erzeugt, das 60 bis 100 % des Nenn- 
35 momentes (M NENN ), vorzugsweise 80 % des Nennmomentes betragt. 

4. Verfahren nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet , 

dass die Bremseinrichtung (394, 396) einer nicht schwerkraftbelasteten Achse uber einen externen Schaltkontakt 
40 (398) losbar ist und uber eine Hilfsenergie (400) betrieben wird. 

5. Verfahren nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass bei einer individuellen Losung der Bremseiririchtungen (394, 396) einer Gruppe von nicht oder im wesentli- 
45 chen nicht durch Schwerkraft belasteten Achsen wie Kopfachsen, verbleibende durch Schwerkraft belastete Ach- 

sen auf Stillstand uberwacht werden. 

6. Verfahren nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

50 dass eine Spannungsversorgung (380) fur die Bremseinrichtungen (394, 396) uber ein externes Steuer- und Uber- 

wachungsgerat (38) zugeschaltet wird und dass eine mit der Bremseinrichtung (394, 396) gekoppelte Antriebs- 
steuerung (24, 26) ein Signal erzeugt, mit dem die Bremseinrichtung einer Achse geoffnet bzw. geluftet wird. 

7. Uberwachungs- und Steuergerat (38) zur Uberwachung einer zumindest eine portable und/oder mobile und/oder 
55 immobile Einrichtung umfassenden technischen Anlage (10) mit erhohten Sicherheitsanforderungen, insbeson- 

dere eines in einer Schutzeinrichtung angeordneten Handhabungsgerates, mit zumindest einer vorzugsweise zen- 
tralen und/oder dezentralen Steuereinheit (36) sowie mit dieser verbundene Aktoren (24 - 30; K1 , K2) zur Ausfuh- 
rung von gefahrbringenden Aktionen, wobei das Uberwachungs- und Steuergerat (38) mit Sensoren (20, 22) und/ 
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oder Aktoren (24 - 30) verbunden ist und deren Zustande auswertet, verarbeitet und steuert, zur Durchfuhrung 
des Verfahrens nach Anspruch 1 , 
dadurch gekennzeichnet , 

dass die Steuereinheit (36) uber zumindest eine Datenverbindung mit dem zumindest einen Aktor (24 - 30) und/ 
5 oder Sensor (20, 22) und dem Uberwachungs- und Steuergerat (38) verbunden ist, dass das Uberwachungs- und 

Steuergerat (38) in Abhangigkeit der Zustande der Sensoren (20, 22) und/oder Aktoren (24 - 30) zumindest ein 
Freigabesignal an die Steuereinheit zur Ermoglichung zumindest einer Aktion in der technischen Anlage (1 0) uber- 
tragt, dass das Freigabesignal eine Aktion auslost, die durch das Steuer- und Uberwachungsgerat (38) durch 
Vergleich mit gespeicherten und/oder vorgegebenen Ausfuhrungs- und/oder Funktions- und/oder Plausibilitats- 
10 vorgaben bzw. Bewegungsablaufen uberwacht wird, und dass im Fehlerfall zumindest ein weiteres Signal erzeugt 

wird, durch das die Anlage in einen sicheren Zustand uberfuhrt wird. 

8. Uberwachungs- und Steuergerat nach Anspruch 7, 
dadurch gekennzeichnet, 

15 dass der Aktor (24 - 30; K1 , K2) und/oder der Sensor (20, 22) als eine die technische Anlage (1 0) in den sicheren 

Zustand uberfuhrende Sicherheitseinrichtung (14) ausgebildet ist. 

9. Oberwachungs- und Steuergerat nach Anspruch 7 oder 8, 
dadurch gekennzeichnet, 

20 dass der Aktor (24 - 30) insbesondere eine Antriebseinheit (24 - 30) mit zugehoriger Antriebssteuerung (50), ein 

Leistungsschutz (K1, K2), ein Relais oder ein Ventil umfasst. 

10. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

25 dass die Aktion ein Bewegungsablauf ist, . 

11. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Datenverbindung eine serielle Busleitung (CAN_ A) ist. 

30 

12. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Steuereinheit (36) und das Uberwachungs- und Steuergerat (38) physisch separate Einrichtungen sind. 

35 13. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass von der Steuereinheit (36) fortlaufend oder einmalig ein Lage-Sollwert-Signal an die zumindest eine ange- 
schlossene Antriebssteuerung (50) und/oder an das Uberwachungs- und Steuergerat und von der zumindest einen 
Antriebssteuerung (50) Lage-lstwert-Signale zumindest an die Steuereinheit (36), vorzugsweise sowohl an die 
40 Steuereinheit (36) als auch an das Uberwachungs- und Steuergerat (38) ubertragen werden, dass die Lage-lstwert- 

Signale jeder Antriebssteuerung (50) mit in dem Uberwachungs- und Steuergerat (38) abgespeicherten und vor- 
zugsweise von der Steuereinheit (36) ubertragenen antriebsspezifischen Werten und/oder Wertebereichen ver- 
glichen werden und dass bei Verlassen des jeweiligen Wertes und/oder Wertebereiches das weitere Signal erzeugt 
wird. 

45 

14. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das Uberwachungs- und Steuergerat (38) zur Auswertung elektromechanischer Sicherheitsschalter (366) 
und zur Ansteuerung externer Schaltgerate (376, 378) eine zweikanalige Ausgangs- und Eingangsebene (66) mit 
50 kreuzweisem Datenvergleich aufweist und/oder dass zumindest ein weiterer Busanschluss (72) vorgesehen ist, 

urn das Uberwachungs- und Steuergerat (38) in einen ubergeordneten Sicherheitsbus zu integrieren. 

15. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

55 dass das Uberwachungs- und Steuergerat (38) zwei Kanale mit jeweils zumindest einem Mikrocontroller (59, 60) 

aufweist, wobei jeder Mikrocontroller (59, 60) uber einen Buscontroller(56, 58) mit der Busleitung (CAN_A, CAN_B) 
verbunden ist. 
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16. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Mikrocontroller (59, 60) uber eine Verbindung (88) zum gegenseitigen Datenaustausch miteinander ver- 
bunden sind. 

5 

17. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die von den Antriebssteuerungen (50) ubertragenen Lage-istwerte mit einem Identifier deklariert werden und 
dass bei Empfang dieser Identifier in jedem Mikrocontroller (59, 60) des Oberwachungs- und Steuergerates ein 
10 Interrupt ausgeldst wird und dass das Uberwachungs- und Steuergerat fur sicherheitsrelevante Daten wie Lage- 

lstwerte, Sensor- und/oder Aklorsignale eine Zeiterwartungshaltung aufweist. 

1 8. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

15 dass jedem Wert und/oder Wertebereich zumindest ein sicherheitsgerichteter Ausgang und/oder Eirigang (92, 

94) des Uberwachungs- und Steuergerates (38) zugeordnet ist, wobei die Ausgange und/oder Eingange mit pas^ 
siven und/oder aktiven Schaltelementen (96, 98) (Sensoren und/oder Aktoren) wie elektromechanischen Sicher- 
heitsschaltern oder Leistungsschutze und Relais verknupft sind. 

Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Steuereinheit (36) Lage-Sollwert-lnformationen zum Anfahren definierter Positionen wie Safe-Position, 
Sync-Position an die zumindest eine Antriebseinheit (24 - 30) und das Uberwachungs- und Steuergerat (38) uber- 
tragt, wobei den definierten Positionen antriebsspezifische Werte zugeordnet sind, die zu dem Oberwachungs- 
und Steuergerat (38) ubertragen und mit den ermittelten Lage^lstwerten der Antriebseinheiten (24 - 30) verglichen 
und uberwacht werden. 

Uberwachungs- und Steuergerait nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass bezuglich einer Antriebseinheit (24 - 30) bzw. einer Antriebsachse eine Vielzahl von Wertebereichen def iniert 
sind, die antriebsspezifisch von dem Oberwachungs- und Steuergerat (38) uberwacht werden, wobei jedem Wert 
und/oder Wertebereich ein oder mehrere Ausgange des Oberwachungs- und Steuergerates (38) zugeordnet sind. 

21. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
35 dadurch gekennzeichnet, 

dass die Werte und/oder Wertebereiche antriebsspezifisch programmierbar sind und dass jedem Wert und/oder 
Wertebereich Ausgange zugeordnet sind. 

22. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
40 dadurch gekennzeichnet, 

dass die Lage-lstwerte einzelner Antriebseinheiten (24 - 30) in dem Ubenvachungs- und Steuergerat (38) und/ 
oder der Steuereinheit (36) durch eine vorzugsweise kinematikspezifische Transformation auf einen handhabungs- 
geratespezifischen Punkt (304) wie Roboterflansch bzw. Tool-Center-Point (TCP) verrechnet werden und dass 
kartesische Wertebereiche fur n-dimensionale Bewegung mit insbesondere n=3 in einer Tabelle abgespeichert 
45 sind, wobei jeder Wertebereich zumindest einem Ausgang des Oberwachungs- und Steuergerates (38) zugeordnet 

ist. 

23. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

50 dass die n-dimensionalen mit insbesondere n=2 oder n=3 in den Tabellen abgelegten Wertebereiche bei jedem 

Zyklus mit den empfangenen und transformierten Lage-lstwerten verglichen werden. 

24. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

55 dass die Lage-lstwerte samtlicher Antriebseinheiten (24 - 30) ermittelt und durch eine kinematik-spezifische Trans- 

formation auf den handhabungsgeratespezifischen Punkt (304) errechnet werden und dass aus zumindest zwei 
transformierten Positionswerten durch Differenzieren die kartesische Geschwindigkeit des Punktes (304) errech- 
net und mit einer vorgegebenen maximalen Geschwindigkeit verglichen wird. 
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25. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass eine Uberwachung der Geschwindigkeit zyklisch erfolgt. 

26. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass nach Ausldsung des weiteren Signals eine kartesische Anfangsgeschwindigkeit V Anfang des Punktes (304) 
ermittelt und gespeichert wird, dass nach einer Zeitspanne AT die aktuelle Geschwindigkeit V akt ermittelt und mit 
der Anfangsgeschwindigkeit V Anfang verglichen wird, wobei dann, wenn die aktuelle Geschwindigkeit V akt nach 
der Zeitspanne AT gleich oder groBer der Anfangsgeschwindigeit V Anfang ist, die Anlage sofort in den sicheren 
Zustand uberfuhrt wird. 



Claims 

1 . Method for controlling and monitoring a braking device (394, 396) with a nominal moment (M N0M ) that is assigned 
to a drive unit (24, 26) of a technical system (10) such as handling device, 

characterized in 

that a braking current (l B ) of the drive unit (24, 26) that corresponds to a braking torque is measured and stored 
when the braking device (394, 396) is open, that an axis-specific current value (Ijest) * s placed "on the drive unit 
(24, 26) when the braking device (394, 396) is closed that provides a moment load to the braking device which is 
equal to or smaller than the nominal moment (M N0M ) of the braking device (394, 396) and that the drive (24, 26) 
is monitored for standstills at the same time. 

2. Method in accordance with claim 1 , 
characterized in 

that the current value (I TE st) results from the measured braking current (l B ) and an offset current (Ioffset) based 
on the relation 

'test = Ib * 'offset 

w 'thl 0 FFSET = X*l N 

with 0.6 < x < 1 .0, preferably x = 0.8 

with l N being a current that corresponds to the nominal moment (M N0M ). 

3. Method in accordance with claim 1 or 2, 
characterized in 

that the target current value (I TES t) generates a torque in the drive unit (24, 26) that amounts to 60 to 100% of 
the nominal moment (M N0M ), preferably to 80% of the nominal torque. 

4. Method in accordance with at least one of the previous claims, 
characterized in 

that the braking device (394, 396) of an axis that is no subject to gravity load can be released via an external 
switching contact (398) and is operated via auxiliary energy (400). 

5. Method in accordance with at least one of the previous claims, 
characterized in 

that in the case of an individual release of the braking devices (394, 396) of a group of axes that are not at all or 
only insignificantly subject to gravity load, such as head axes, the remaining axes that are subject to gravity are 
monitored for standstills. 

6. Method in accordance with at least one of the previous claims, 
characterized in 

that a power supply unit (380) is added for the braking devices (394, 396) via an external control and monitoring 
device (38) and that a drive control (24, 26) that is coupled with the braking device (394, 396) generates a signal 
with which the braking device of an axis is opened or lifted. 
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7. Monitoring and control device (38) for monitoring a technical system (10) with enhanced safety requirements that 
comprises at least one portable and/or mobile and/or immobile device, in particular a handling device arranged in 
a protective device and having at least one preferably central and/or decentral control unit (36) as well as actuators 
(24-30; K1 , K2) connected to the control unit for executing dangerous operations, whereby the monitoring and 

5 control device (38) is connected to sensors (20, 22) and/or actuators (24-30) and evaluates, processes and controls 

their status for carrying out the method according to claim 1 , 
characterized in 

that via at least one data circuit the control unit (36) is connected to the at least one actuator (24-30) and/or sensor 
(20, 22) and the monitoring and control device (38), that the monitoring and control device (38) transmits at least 
10 one release signal to the control unit in accordance with the status of the sensors (20, 22) and/or actuators (24-30) 

in order to enable at least one operation in the technical system (10), said operation is monitored by the monitoring 
and control device (38) by comparing the release signal with stored and/or specified execution and/or function 
and/or plausibility specifications and/or processes of movement, and that in case of an error at least one further 
signal is generated by which the system is lead into a safe condition. 

15 

8. Monitoring and control device in accordance with claim 7, 
characterized in 

that the actuator (24-30; K1 , K2) and/or the sensor (20, 22) has the design of a safety device (14) that transfers 
the technical system (10) into a safe status. 

20 

9. Monitoring and control device in accordance with claim 7 or 8, 
characterized in 

that the actuator (24-30) includes in particular a drive unit (24-30) with appropriate drive control (50), a contactor 
(K1 , K2), a relay or a valve. 

25 

10. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the operation is a process movement. 

30 11. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the data circuit is a serial bus line (CAN_A). 

12. Monitoring and control device in accordance with at least one of the previous claims, 
35 characterized in 

that the control unit (36) and the monitoring and control device (38) are physically separate devices. 

13. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

40 that a target status value signal is transmitted continuously or once to the at least one connected drive control 

(50) and/or to the monitoring and control device and that from the at least one drive control (50) actual status value 
signals are transmitted at least to the control unit (36), preferably to both the control unit (36) and the monitoring 
and control device (38), that the actual status value signals of every drive control (50) are compared to the drive- 
specific values and/or value ranges that have been stored in the monitoring and control device (38) and preferably 
45 been transferred by the control unit (36), and that upon deviation from the respective value and/or value range the 

other signal is generated. 

Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the monitoring and control device (38) is equipped with a two-channel output and input level (66) with crosswise 
data comparison for evaluating electromechanical safety switches (366) and for addressing external switching 
devices (376, 378) and/or that at least one additional bus connection (72) is provided in order to integrate the 
monitoring and control device (38) into a higher-ranking safety bus. 

55 15. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the monitoring and control device (38) is equipped with two channels, each with at lest one microcontroller 
(59, 60), with each microcontroller (59, 60) being connected to the bus line (CAN_A, CAN_B) via a bus controller 
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(56, 58). 

1 6. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

• 5 that the. microcontrollers (59, 60) are connected to each other via a connection (80) for mutual data exchange 

purposes. 

17. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

16 that the actual status values transmitted by the drive controls (50) are declared with an identifier and that upon 

receipt of these identifiers an interrupt is triggered in each microcontroller (59, 60) of the monitoring and control 
device, and that the monitoring and control device is equipped with a time expectancy device for safety- related 
data such as actual status values, sensor and/or actuator signals. 

15 18. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that each value and/or value range is assigned at lest one safety-related output and/or input (92, 94) of the mon- 
itoring and control device (38), with the outputs and/or inputs being connected to passive and/or active switching 
elements (96, 98) (sensors and/or actuators) such as electromechanical safety switches or contactors and a relay. 

20 

19. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the control unit (36) transmits target status value information for assuming defined positions such as safe 
position, sync position to the at least one drive unit (24-30) and to the monitoring and control device (38), with the 
25 defined positions being assigned drive-specific values that are transmitted to the monitoring and control device 

and compared to the measured actual status values of the drive units (24-30) and monitored. 

20. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

30 that with regard to a drive unit (24-30) or drive axis a variety of value ranges is defined, which are monitored by 

the monitoring and control device (38) in a drive-specific manner, with each value and/or value range being as- 
signed one or more outputs of the monitoring and control device (38). 

21. Monitoring and control device in accordance with at least one of the previous claims, 
35 characterized in 

that the values and/or value ranges can be programmed in a drive-specific manner and that outputs are assigned 
to each value and/or value range. 

22. Monitoring and control device in accordance with at least one of the previous claims, 
40 characterized in 

that the actual status values of individual drive units (24-30) are calculated in the monitoring and control device 
(38) and/or the control unit (36) through preferably kinematic-specific transformation to a handling device specific 
point (304) such as a robot flange or tool center point (TCP) and that cartesian value ranges are stored in a table 
for n-dimensional movement, particularly with n = 3, with every value range being assigned at least one output of 
45 the monitoring and control device (38). 

23. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the n-dimensional, particularly with n=2 or n=3, value ranges stored in the tables are compared with the 
50 received and transformed actual status values during every cycle. 

24. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that the actual status values of all drive units (24-30) are determined and are calculated to a handling device 
55 specific point (304) through kinematic-specific transformation and that the cartesian speed of the point (304) is 

calculated from at lest two transformed position values through differentiation and compared to a specified maxi- 
mum speed. 



EP 1 239 354 B1 



25. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that monitoring of the speed occurs in a cyclical manner. 

26. Monitoring and control device in accordance with at least one of the previous claims, 
characterized in 

that upon triggering the other signal a cartesian starting speed V start of the point (304) is determined and stored, 
that after a time period AT the current speed V curr is determined and compared to the starting speed V start , with 
the system being transferred immediately into the safe status when the current speed V curr is equal to or larger 
than the starting speed V start after the time period AT. 

Revendications 

1. Procede pour commander et surveiller un dispositif de freinage (394, 396) ayant un couple nominal (M N0M ) et 
affecte a une unite d'entramement (24, 26) d'une installation technique (10) telle qu'un manipulateur, 
caracterise en ce 

qu'un courant de maintien (l M ) correspondant a couple de maintien de I'unite d'entramement (24, 26) est mesure 
lorsque le dispositif de freinage (394, 396) est ouvert, que lorsque le dispositif de freinage (394, 296) est ferme, 
I'unite d'entrainement (24, 26) est alimentee avec une valeur de courant (Ijest) specifique a I'axe, qui charge le 
systeme de freinage avec un couple inferieur ou egal au couple nominal (M N0M ) du dispositif de freinage (394, 
396), et qu'en meme temps I'arret de I'entrainement (24, 26) est surveille. 

2. Procede selon la revendication 1 , 
caracterise en ce 

que la valeur de courant (I TE st) resulte du courant de maintien (l M ) mesure et d'un courant offset (Ioffset) selon 
la formule 

•test = 'm ± 'offset 

sachant que Iqffset = x * 'n 
avec 0,6 < x < 1 ,0, de preference x = 0,8, et que 
. I N est un courant correspondant au couple nominal (M NOM ). 

3. Procede selon la revendication 1 ou 2, 
caracterise en ce 

que la valeur theorique de courant (I TE st) dans ''unite d'entramement (24, 26) g6nere un couple dont la valeur se 
situe entre 60 et 100 % de celle du couple nominal (M NOM ), de preference a 80 % de celle du couple nominal. 

4. Procede selon I'une des revendications precedentes, 
caracterise en ce 

que le dispositif de freinage (394, 396) d'un axe non soumis a la force de gravite peut etre desserre par un contact 
de commutation de commande externe (398) et est actionne par une energie auxiliaire (400). 

5. Procede selon I'une des revendications precedentes, 
caracterise en ce 

qu'en cas de desserrage individuel des dispositifs de freinage (394, 396) d'un groupe d'axes non soumis a la force 
de gravite ou pour I'essentiel non soumis a cette force, tels que des axes frontaux, I'arret des axes restant soumis 
a la force de gravite est surveille. 

6. Procede selon I'une des revendications precedentes, 
caracterise en ce 

qu'une alimentation en tension (380) pour les dispositifs de freinage (394, 396) est mise en circuit par un appareil 
de commande et de surveillance (38), et qu'une commande de I'entramement (24, 26) couplee avec le dispositif 
de freinage (394, 396) emet un signal avec lequel le dispositif de freinage d'un axe est ouvert ou desserre. 

7. Appareil de surveillance et de commande (38) destine a surveiller une installation technique (10) avec des exi- 
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gences de securite accrues comprenant au moins un dispositif portatif et/ou mobile et/ou immobile, en particulier 
un manipulates place dans un dispositif de protection, avec au moins une unite de commande (36) centralist 
et/ou d6centralis6e ainsi que des acteurs (24 - 30, K1, K2) relies k celle-ci et destines a executer des actions 
presentant des dangers, sachant que I'appareil de surveillance et de commande (38) est relie k des capteurs (20, 
5 22) et/ou a des acteurs (24 - 30) et analyse, traite et commande leurs §tats afin de realiser le proc^de selon la 

revendication 1 , 
caracterise en ce 

que I'unite de commande (36) est reliee par au moins un circuit de donnees k au moins un acteur (24 - 30) et/ou 
un capteur (20, 22) et a I'appareil de surveillance et de commande (38), qu'en fonction des etats des capteurs (20, 

10 22) et/ou des acteurs (24 - 30), I'appareil de surveillance et de commande (38) transmet au moins un signal de 

validation a I'unite de commande pour permettre au moins une action dans Installation technique (10), que le 
signal de validation declenche une action qui est surveillee par I'appareil de commande et de surveillance (38) 
par comparaison avec des consignes d'execution et/ou fonctionnelles et/ou de vraisemblance et des sequences 
de mouvements memorises et/ou pred§finies, et qu'en cas d'erreur est emis au moins un signal additionnel par 

15 lequel Installation est amenee dans un etat securise. 

Appareil de surveiHance et de commande selon la revendication 7, 
caracterise en ce 

que i'acteur (24 - 30 ; K1, K2) et/ou le capteur (20, 22) est forme comme dispositif de securite (14) amenant 
Installation technique (10) dans I'etat securise. 

9. Appareil de surveillance et de commande selon la revendication 7 ou 8, 
caracterise en ce 

que I'acteur (24 - 30) comprend en particulier une unite d'entratnement (24 - 30) avec une commande d'entratne- 
25 ment (50) associee, un dispositif de protection de puissance (K1 , K2), un relais ou une vanne. 

10. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que Taction est une sequence de mouvements. 

30 

11. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que le circuit de donnees est un bus seriel (CAN_A). 

35 12. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

I'unite de commande (36) et I'appareil de surveillance et de commande (38) sont des dispositifs separes physi- 
quement. 

40 13. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que I'unite de commande (36) transmet en permanence ou ponctuellement un signal de valeur theorique de po- 
sition a au moins une commande d'entratnement (50) connectee et/ou a I'appareil de surveillance et de commande, 
et qu'au moins une commande d'entratnement (50) transmet des signaux de valeur effective de position au moins 
45 a I'unite de commande (36), de preference a I'unite de commande (36) ainsi qu'a I'appareil de surveillance et de 

commande (38), que les signaux de valeur effective de position de chaque commande d'entratnement (50) sont 
compares avec les valeurs et/ou les plages de valeurs specifiques a Tentratnement memorisees dans I'appareil 
de surveillance et de commande (38) et de preference transmises par I'unite de commande (36), et qu'en cas de 
non-concordance avec les valeurs et/ou les plages de valeurs respectives, le signal additionnel est cree. 

'50 

14. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que I'appareil de surveillance et de commande (38) presente un niveau de sortie et d'entree a deux voies (66) 
avec comparaison croisee des donnees pour analyser des commutateurs de securite (366) electromecaniques et 
55 exciter des appareils de commutation (376, 378), et/ou qu'au moins un raccord de bus additionnel (72) est prevu 

pour integrer i'appareil de surveillance et de commande (38) dans un bus de securite de niveau superieur. 

15. Appareil de surveillance et de commande selon au moins I'une des revendications precedentes, 



8. 

20 
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caracterise en ce 

que I'appareil de surveillance et de commande (38) presente deux voies avec chacune au moins un microcontroleur 
(59, 60), chaque microcontroleur (59, 60) etant relie au bus (CAN_A, CAN_B) par un controleur de bus (56, 58). 

5 16. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que les microcontrdleurs (59, 60) sont relies entre eux par une liaison (88) permettant I'Schange reciproque de 
donnees. 

10 17. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que les valeurs effectives de position transmises par les commandes d'entrainement (50) sont declarees avec un 
identif icateur, et qu'a la reception de cet identif icateur une interruption est declenchee dans chaque microcontroleur 
(59, 60) de I'appareil de surveillance et de commande, et que I'appareil de surveillance et de controle se met en 
15 attente de donnees importantes en mature de securite, telles que valeurs effectives de position, signaux des 

capteurs et/ou des acteurs. 

18. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

20 qu'a chaque valeur et/ou plage de valeurs est affectee au moins une sortie et/ou une entree (92, 94) axee sur la 

securite de I'appareil de surveillance et de commande (38), les sorties et/ou entrees etant reliees a des elements 
de commutation (96, 98) passifs et/ou actifs (capteurs et/ou acteurs) tels que des commutateurs de securite ou 
des dispositifs de protection de puissance electromagnetiques et des relais. 

25 19. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

que I'unite de commande (36) transmet a au moins une unite d'entrainement (24 - 30) et a I'appareil de surveillance 
et de commande (38) des informations sur les valeurs theoriques de position afin d'aborder des positions definies 
telle que position Safe ou position Sync, sachant qu'aux positions definies sont affectees des valeurs specifiques 
30 a I'entrainement, qui sont transmises a I'appareil de surveillance et de commande (38) et surveillees et comparees 

avec les valeurs effectives de position calculees des unites d'entramement (24 - 30). 

20. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

35 que par rapport a une unite d'entramement (24 - 30) ou un axe d'entramement sont definies plusieurs plages de 

valeurs qui sont surveillees de maniere specifique a I'entrainement par I'appareil de surveillance et de commande 
(38), chaque valeur et/ou plage de valeurs etant affectee a une ou plusieurs sorties de I'appareil de surveillance 
et de commande (38). 

40 21. Appareil de surveillance et de commande selon au moins I'une des revendications precedentes, 
caracterise en ce 

que les valeurs et/ou plages de valeurs peuvent etre programmees de maniere specifique a I'entrainement et que 
des sorties sont affectees a chaque valeur et/ou plage de valeurs. 

45 22. Appareil de surveillance et de commande selon au moins I'une des revendications precedentes, 
caracterise en ce 

que les valeurs effectives de position des differentes unites d'entramement (24 - 30) sont calculees dans I'appareil 
de surveillance et de commande (38) ou dans I'unite de commande (36) par une transformation de preference 
cinematique specifique sur un point (304) specifique du manipulateur, tel qu'une bride de robot ou le centre de 
50 I'outil (tool-center-point - TCP), et que des plages de valeurs cartesiennes pour mouvement n-dimensionnel, avec 

n - 3 en particulier, sont memorisees dans un tableau, au moins une sortie de I'appareil de surveillance et de 
commande (38) etant affectee a la plage de valeurs. 

23. Appareil de surveillance et de commande selon au moins I'une des revendications precedentes, 
55 caracterise en ce 

que les plages de valeurs n-dimensionnelles, avec en particulier n = 2 ou n = 3, enregistrees dans les tableaux, 
sont comparees lors de chaque cycle avec les valeurs effectives de position re9ues et transformees. 
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24. Appareil de surveillance et de commande selon au moins Tune des revendications ptecedentes, 
caracterise en ce 

que les valeurs effectives de position de toutes les unites d'entrainement (24 - 30) determinees sont calcutees 
sur un point (304) sp§cifique du manipulates par une transformation cin6matique specifique et qu'k partir d'au 
moins deux valeurs de position transformees est calculee par derivation la vitesse cartesienne du point (304) puis 
comparee avec une vitesse maximale predefinie. 

25. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

qu'une surveillance de la vitesse est effectu6e de maniere cyclique. 

26. Appareil de surveillance et de commande selon au moins Tune des revendications precedentes, 
caracterise en ce 

qu'apres declenchement du signal additionnel est calculee et memorisee une vitesse cartesienne initiale V jnit du 
point (304), qu'apres un intervalle de temps At est calculee la vitesse momentanee V mom puis comparee a la 
vitesse initiale V inil , sachant que si apres I'intervalle de temps At, la vitesse momentanee V mom est egale ou su- 
perieure a la vitesse initiale V jnit , I'installation est immediatement amene dans I'etat securise. 



EP 1 239 354 B1 



10 
J 




FIG.1 



Schutztursignale 

f Ansteuerungsebene 



Sicherheitsreiais- / / I QC 
kombination j | * 



Safety Controller Ausgange 

Ansteuerungsebene 



Sicherheitsreiais- / \ 
98 *•+ kombination I I 



Leistungsebene 



Ansteuerung 


Kl 


rl 


1 

r 


Hauptschiitze 


K2 




t 



-100 



FIG.4 



EP 1 239 354 B1 



GO 

m 












PHG 




| 

c — 

Ok 9> 




) 







rr — 

"><Sz 



CO 



CO 



Csj 
CO 



s 3 




■A 



c 

en .-^ 

« "° 5 

CD ^ H 



01 



CO 



«_ 














C32 


4> 


ADSP 





CO 



CM 
O 
Li. 






s 




ii 


o - 




'31 - 


c o 
TZ 


5 l - r 




-J 




EP 1 239 354 B1 



NV1VS3 
f t 




■> 

CM 

o :? 



CO 



EP 1 239 354 B1 




\ Bemerkung Altera Rex 10000 
: ist nut .em Baustein 
: -Teiler 132 
i- DPR AM AOSP/C32 
► DPR AM C32/C1S7 



• - DPHAM CJ2/C167- *a*.M„*r «^hmn \ — 



1U 

Resotver 

flesciver) passives Mengled CTI^ C 

VerstarVun5Slaktor:0,5 | I V? 

i,8 — 



EP 1 239 354 B1 



166 
-»- 



PH6 
Versorgung 
24V 



FIG. 6 



158 



.162 



2ykli«her exrernerl 
TaktivonuC PH6 I 



,161 



T ,156 
<> / 168 



— |Eingang NA-1~| 



170 

) . 

Eingang NA-2 I 




zyklischer extemer I 
TakrivonjuC PH6 I 



Takterzeugung | 



166 



PHB 
Versorgung p- 

24V 



FIG. 7 



174, 
N 



172 



zyklischer extemer Taktkl 
vonjiC PHG I 



180m 



E: Auto 



E- Einrichten 



j 



E- Auto -Test"") 



166 



PHG 
Versorgung 
24V 



zyklischer extemer Takt ml 
wuiC PHG I 



J / 186 

i ... 1 

Engang.ZUST1_1| 



FIG. 8 



CAN-C 




CAN-A 




46 



Safety 
Controller 



FIG.9 



EP 1 239 354 B1 



-J— 



Input: 

Sichere 
Lageistverte 

CPU1 



C 



192 
-4- 



I 



190 



Safeposttion 



3 



Start CPU1 V 196 

198 




194' 



Input: 
Sichere 
Lageistverte 

CPU2 



Start CPU 2 J * 



Verglach der LageisNertellagiwJ 
aller Achsen mit Satepcs 





204 



Vergleich der Lageistverte Magi v \ 
alter Achsen mit Safepos 



FeWer. 
-Safepos zuriicksetaen 
-FeNermeldung 
-Antriebe ausschalten 



Fehler: 
-Safepos niriicksetzen 
- Fehler meldung 
-Antriebe ausschalten 

r 




>2Q6' 



IStahisubergabe an CPU 2 1 20C' 




\ St aty subergahe a n CPU 1 1 



Fehler in rcdundainter CPU 2 
stcher Zustond einrtehmen 
FehlermeWung 

C 



JL/-208' 



Yes 



Fehler in redundanter CPU 2: 
-sicher Zustand einnehmen 
Fehlermeldung 



| Ausgang salens Jlsetzen f ^212 




Rucklesen Ausgang 
safepos_2vonCPU2 . ~ZK 
fiber Sthiitzkontatt 




2U L 
216 



Rucklesen Ausgang 
safepo&J von CPU 1 
uber Schuhkontekt 





"Fehler in Treiber/SchuUlogik; 

-Safepos zuriicksetzen 

-Fehlermeldung 

- Antriebe ausschallen 



^220 



r Fehler in Tre&er/Schutzlogik: 
J_l -Safepos zuriicksetzen 
ZZU^~ -Fehlermeldung 

•Antriebe ausschalten 



FIG.10 



EP 1 239 354 B1 



Input: 
Sic here 
lageistwerte 
CPUInacn 
Power On 



-221 



C 



222 
/ 

Synchronposition 



221- 



Start CPU1 



^-226 



Input; 

Sichere 
lageistwerte 
CPU2nach 
Power On 



226* ^ Start CPU 2 3 + 



Autobelrieb fiir Robot nithl 
freigegeben nach rWerOn 




-228 228- 



Autobelrieb fiir Robot nicht 
freigegeben nach Power On 



Aktion von RSV: 
Fahren auf Sync pov nach 
Positiorrercn auf Syncpos 
An! ordering uberCAN-A 



> 



|Anforderung Syncpos an CPU 2 [ - 



232 



h 



No 




238 



Fehler. 

-RS$*CPU1 nicht synchron 
-sicheren 2ustand einnehmen 
-Fehlerrneldung 



Ves 

240 

r—1 

I Slatusubergabe an CPU 2 



Fehler: 
*RS5/CPU1»CPU2 nicht 
synchron 
sicheren Zustand einnehmen 
-FeNermefdung 



Fehle r in Redundanter C PUl 
-sicheren Zustand einnehmen 
• Fehle rmetdung 




238 



Roboter nicht synchron 
• fehler hafter Sync pos 
Schalter 



Roboter nicht synchron 
• tehterhafter Syncpos 
Schalter 

t 



218' 



FIG.11 




Fehler in Redundanler CPU 2^ 
- sicheren Zustand einnehmen 
- Fehtermeldung 



EP 1 239 354 B1 



252-1 Achsef 



254 -f Achse2 



256 H- AchseT 



258— Achse4 



260 H- AchseT 



262— f- Achsen h 



264 



MHHM1 




MP 



272 



FIG. 12 



Ml 



274 




kathesicher Nocken 



FIG.13 



EP 1 239 354 BT 



280 
—t- 



278 

2 



276 

/ 



Input: 
Sichere 
Lageistwerte 

CPU1 



^Sichere Nockenschalter- achsspezifisch ^ 



Q Start CPU1^~ 



280' 
— ^— 



Input: 
Sichere 
Lageistwerte 

CPU 2 



282 



282 



n 



^ Start CPU 2 ^ 



Vergleich des Lageistwertes 
ll3giw)vonAchsekmit 
Istwerttabelle der Nockeri 



No 




28C- 



Vergleich des Lageistwertes 
(lagiw)derAchse kmit 
Istwerttabelle der Nocken 




jstatusubergabe an CPU 2f ~288 288" S s ^ fas " b e |i g 3be anCPUl] 



i 292 
— t l 

Fehler in redundanter CPU 2 



-SichererZustand einnehmen 
^- Fehlermeldung 




Fehler in redundanter C PU 1 
-Sicherer Zusland einnehmen 
k • FeMermeldung^ m 




| Ausgang Npckeni-fsetzen | 292 |. Ausgang Nochen i_2serzen | 



Rucklesen Ausgang 
i_2 von CPU 2 titer 
~ SchQtzkontakt . 




-296 



Riicklesen Ausgang 

7QR — ' von CPU1 0bcr 

LJU I Schutzicpntakt 




Fehler in Treiber/SthOtzlogik: 
-Nocken zurOcksetzeri 

- Fehler meldung 

- Antriebe ausschalten 



-300 300'- 



Fehler inTrefcer/Schutzbgik: 
• Nocken zurucksetzen 
- Fehlermetdung 
-Antriebe ausschalten 



FIG.1A 



EP 1 239 354 B1 



306 



Input: 
Sichere 
Lageistwerte 
CPU1 



-310 



308 
i 



( Sichere Nockenschalter>karthesisch) , - 



I 



{^□= ^StartCPUl) --312 



1 



Transformation Roboter- , 
kinematik (14 Achsen max.) - ^31^ 314^ 

Berechnung kartiv von Flansch/TCP 



Input: 
Sichere 
Lageistwerte 
CPU 2 



Transformation Roboter- 
kinematik lUAchsen max.) 
Berechnung kartiv von Ransch/TCP 



| Ubergabe karttw an CPU 2^ 316 316^ t ^ bcr g abe fcart'wanCPUl | 




No 



jL 



320 



Fehter inredundanterCPU2 
- sicheren Zu stand einnehmen 
-Fehlermetdung 



w ,318' 



Yes 




No 



322, 



Fehler in redundanter CPU1 : 
- sicheren Zustand einnehmen 
. Fehtermel dunq 



Vergleich der Lageistwerte (kartiw) 
von Flansch/TCP mil Istwerttabelle 
der Nocken 



320 ' 



Yes 



322' 



Vergleich derlageistwerte(kartiw) 
von Flansch/TCP rrotlstwerttabeUe 
der Nocken 




[ Ausgartg Nocken ijt setzen 4 ^326 





Rucklesen Ausgang 
i 2 von CPU 2uber 
" Schiitztontakt 



—328 



326* — { Ausgang Nocken i ^2 setzen j 

328 : " 



Yes 




RiicMesen Ausgartg 
•_1 von CPU1 uber 
Schutzkeniakt 





Fehler in Treiber/Schutztogik: 
• Nocken zurucksetzen 
- Fehlermetdung 
-Antriebe ausschalten 

t 



332 



Fehler in Treiber/Schutztogik: 
• Nocken zurucksetzen 
-Fehlermetdung 
-Antriebe ausschalten 



332' 



FI6.15 



EP 1 239 354 B1 



n 



t ¥ Nx / 




FIG.16 




336 


1 





T=0(=ZyklusO) T1=mZykIen Tmax = n Zyklen 



178 

? 

Schlvissel- 
wahlschalter 



182} 

Zustimmungstaster 



n 



Verfahrtasten 



Drehzahl- 
iiberwachung 



1 = sicher redGeschwindtgkeit 
Ossicherer Betriebshalt 



FIG 17 



tx 



180 ~ Schliisselwahlschatter 

I ■ 

18 2 " — Zusti mmungstasfer 



360~Start/Verfahrfasten FIGJ9 

i — I TL 

362— Freigabe | | 



EP 1 239 354 B1 



Input: 
Jichere 
igeistwc 

CPU1 



Q Sicher reduzierte Geschwindigket ^ 



/ 



3U 



~3C6 






346- 




f 







H s,a " CPU ' > 3te 



Input: 
Sichene 
lageistwerte 

CPU 2 



348'-^ start c pu 2 



Transformation Roboter- 
kinemahk I HAchsen max.) 
Berechnung Vist von Flansch 



UbergabeVist ar»CPU2 -352 




-350 350- 



I 



Transformation Roboter- 
kinematik ( 1i»Achsen max.) 

Berechnung Vist von Flansch 



352— UbergabeVistanCPU 1 



Fehlerinredundanter 

CPU 2: 
-Antriebe ausschalfen 
■Fehlermeldung 




^stCPU1=V«tCPU2 

35C 



356 



Yes 



Fehler in retfundanter 

CPU1. 
Antriebe ausschalfen 
• Fehlermeldung 



SitheKreduserte, 

358 i^HpSWSHf* 



356' 



FIG.18 



180 ~ Schtiisselwahlschalrer 



182 — ZusHmmungstaster 



360~Srart/Verfahrrasren 

— L 

362 - — Freigabe 



n 



FIG. 20 



EP 1 239 354 B1 




EP 1 239 354 B1 



Reaktion der Redundanten Kreise ( A und B ) 
bei Spannungsausfall 



[NOT-STOP-Routine] 



ISS1 




AC FAIL von Puffemehteil 
WO vonRSV 
(keire Sollwerte UberCAN_A) 



Start KreisB 
NOT- STOP- Routine 
JTIC32/AOSP 2I05I 



Option: Abschalten nicht 
benotiqter Module I VCC3) 




Achse in 
Stillstand(nsO) 
regeln 

SollwerWorgabe 
anKrosJ B 

r 




412 02* 



Sollwerte Hir 
Still setzen (n=0) 
von KreisA 
erwarten und 
ausfiihren 

7 



T 



f»1^~ |-Haltebrems€aKtivieren j 



1 Ha.tebre^aKtivigen U K' 



«6- 



Wartezeit 
Haltebremse einfallen 




lageistverM32bit) In Flash C167 ablegen 
SYNC- Flagset2en 





lageistvert(32bit) in Flash AQSP 2105 ablegen 
SYNC- Flag setzen 



Jm Ijtel fa ll_rst bi e LY* 7 1 
Ab hier iibemimmt die Puffers panning tads 




wo 7 




FIG. 22 




Sdlte die Versorgungsspannung vor Beendigung der NOT-STOP-RouKne zusammenbrechen ist die Achse 
beim Wiederanlaut asynchran gesetzt und das Bedienpersonal muO die Achse neu synchronisieren. Die 
Synchronistening erfolgt durch Anfahren der Sync- Position. Nach Quitttervng der Sync- Position setzt 
das Safety -Modul die Achse synchron for Automattkbetrieb. 



EP 1 239 354 B1 



426 



Pufferbetrieb nach Spannungsausfal! [Power- Down-Mode] 

Ab hier ubernimmt die Putferspannung, falls vorftanden 



Start Km s A .- Q 
Powe r • Down- Routin e/^ t^t Q 
I Siemens C167L 



/ Of]~ • Abscnalten alter niM benotigten Verbjaucher 
wu lV«2):(SRAMC167.C32mit SRAM. Altera) 




Abschallen aller nicht benoKgten 
Verbraucher: (Resolver, Antigen...) 



&32* j Timer- Start 200tns \ 




436 H tslwertau<nahTO -Zyklussfarten | STart.RESoWer ITTL-IO) - 



-430' 




-ne*n 




SOC(B)=1R EOCU) 
TTL-K) 



Resolver umj ADCzuschalten 

Relerenzfrequenz • 
Start jOf ^Conversion erzeugen 



U6- 

C50 — ^Lage'stwert berechnen(aittan) | 



-442 




/ 1 0 AAaiog-Digibt- Konvertierung sin/cos 
* tIRBS-ZyUus) 



^SO W^S^stwert berechnentardan) | 



Lageistwert in tnteroen RAMC167 
abgelegen 




UgeisNvert in internem RAM ADSP 
abgelegen 

i 



4SB' M SYNC-FUgsetzen] 





440-^S 



FIG. 23 



EP 1 239 354 B1 



Nicht uber Hauptschalter der 
Robotersteuerung geschaltet : iiber 
seperate Vorsicherung direkt am 
Netz angescNossen i u 



FIG. 2U 



12V-Akku 



468 



466 
-4 



464 



Schaltnetzteil 
ca.lOOW 
VouU7V 



Integrierte ACfail 
Uberwachung 



/ 



470 



111 



Flash 



102- 



IR-ACfail 



Siemens 
SAB 80C 167 



SRAM 
intern 

lotT 



114- 



IR-ACfail 



1 

STart-R ESolver(TT L) 



IR-EOC 
(ohne Teiler) 



-*■ 6 

GND Vext 



EOC 
ADC 



EPLD 
X1UNX 
und MULOAC 

138 



Analog Device 
AOSP 2105 



SRAM 
intern 
J — 

122 



123 
-J— 

Rash 



-120 



soc 



IR 

BS-Zyhlus 



EOC 
ADC 



. -136 




Resolver 4-48 



